d4f
Kaffee? Wo?
Das US-amerikanische Blog von Playstation im gestrigen Beitrag und die FAQ zum Angriff bestaetigen beide dass dies nicht der Fall ist.
http://us.playstation.com/support/answer/index.htm?a_id=2356
[Diskussion] Datenklau bei Sony’s Playstation Network
- Thread starter d4f
- Start date
Hallo!
Hier möchte ich mal Gulli.com im Bezug auf die angestrebte Klage gegen Sony zitieren:
mfG
Thorsten
Hier möchte ich mal Gulli.com im Bezug auf die angestrebte Klage gegen Sony zitieren:
In wie weit das Ganze Bestand hat kann man heute natürlich nicht sagen.http://www.gulli.com/news/eu-kommission-erh-lt-beschwerde-ber-sony-2011-04-19 said:
mfG
Thorsten
Ben.
Registered User
Ich bin mir nicht sicher, ob ich Thorsten's Zitat richtig verstanden habe. Wenn ich einmal die Kreditkarteninformationen eines Kunden erhalten habe, muss ich dessen Daten nicht speichern, um davon Geld abzubuchen.
Richtig ist, dass es nicht gestattet ist, Kreditkarteninformationen zu speichern. Ich brauche aber keine CVV oder so was um von einer Karte abzubuchen.
Der Prozess ist in Verbindung mit einem Clearing-Partner der, dass bei der Bonitätsprüfung und Kreditkartenauthorisierung diese Informationen an den Clearing-Partner geschickt werden, dieser einen Alias erstellt und diese Information an mich zurück gibt.
Von da an kann ich beliebig mit Hilfe dieses Aliases buchen und Geld einziehen wie ich möchte. Ob die abgebuchten Beträge letztlich auch ausgezahlt werden ist eine andere Frage, da der Kunde ggf. Einspruch einlegt.
Bei 3D secure ist allerdings weiterhin die Eingabe des Passworts zwingend. Sobald das Passwort angegeben wurde, haftet übrigens der Kunde für falsche Abbuchungen.
Richtig ist, dass es nicht gestattet ist, Kreditkarteninformationen zu speichern. Ich brauche aber keine CVV oder so was um von einer Karte abzubuchen.
Der Prozess ist in Verbindung mit einem Clearing-Partner der, dass bei der Bonitätsprüfung und Kreditkartenauthorisierung diese Informationen an den Clearing-Partner geschickt werden, dieser einen Alias erstellt und diese Information an mich zurück gibt.
Von da an kann ich beliebig mit Hilfe dieses Aliases buchen und Geld einziehen wie ich möchte. Ob die abgebuchten Beträge letztlich auch ausgezahlt werden ist eine andere Frage, da der Kunde ggf. Einspruch einlegt.
Bei 3D secure ist allerdings weiterhin die Eingabe des Passworts zwingend. Sobald das Passwort angegeben wurde, haftet übrigens der Kunde für falsche Abbuchungen.
Hallo!
Wer, wann, was in welcher Forum speichern darf, ist unter https://de.pcisecuritystandards.org/_onelink_/pcisecurity/en2de/minisite/en/docs/pci_dss_v2-0.pdf beschrieben. Bei den meisten Händlern bei denen ich eine telefonische oder eine Internetbestellung gemacht habe, mussten bei Erstkontakt (Kunde / Händler) die Kreditkartennummer, der vollständige Name, die Postleitzahl, die Anschrift und der CVV Code angegeben werden.
Bestelle ich allerdings via iTunes muss ich auch hier IFAIR nicht erneut meinen CVV2 Code angeben.
Ergo: Man darf ihn nicht speichern - tut es aber, oder fragt ihn nicht ab.
mfG
Thorsten
Wer, wann, was in welcher Forum speichern darf, ist unter https://de.pcisecuritystandards.org/_onelink_/pcisecurity/en2de/minisite/en/docs/pci_dss_v2-0.pdf beschrieben. Bei den meisten Händlern bei denen ich eine telefonische oder eine Internetbestellung gemacht habe, mussten bei Erstkontakt (Kunde / Händler) die Kreditkartennummer, der vollständige Name, die Postleitzahl, die Anschrift und der CVV Code angegeben werden.
Bestelle ich allerdings via iTunes muss ich auch hier IFAIR nicht erneut meinen CVV2 Code angeben.
Ergo: Man darf ihn nicht speichern - tut es aber, oder fragt ihn nicht ab.
mfG
Thorsten
tomasini
New Member
Den eigentlichen Skandal bei der Geschichte kommentiert die FTD ganz treffend:
http://www.ftd.de/it-medien/medien-...gen-ist-der-eigentliche-skandal/60044405.html
Und was machen die zuständigen Aufsichtsbehörden? Die halten die Füße still, weil sie am Gängelband der Industrie hängen.
http://www.ftd.de/it-medien/medien-...gen-ist-der-eigentliche-skandal/60044405.html
Und was machen die zuständigen Aufsichtsbehörden? Die halten die Füße still, weil sie am Gängelband der Industrie hängen.
d4f
Kaffee? Wo?
Sony behauptet, bis vorgestern nicht ueber die Methode und Natur des Angriffs im Klaren gewesen zu sein. Aus PR-Sicht ist es somit verstaendlich dass der Konzern von "Wartungsarbeiten" spricht um nicht die Benutzer panikieren zu lassen und allerlei Horrorgespinste spriessen zu lassen welche sich als unwahr aber image-schaedigend rausstellen.
Natuerlich wollen die Kunden immer alles wissen, aber Microsoft und Konsorten verraten ja auch nicht bereitwillig der Masse dass ein neues 0day in Umlauf ist bis dass sie einen Fix oder Workaround implementieren konnten.
Mich interessiert ob es schon Fakten -also aufgetauchte Inhalte- aus der Datenbank gibt. Sony sagt lediglich dass ein Zugriff auf die Daten bestanden haette und somit im worst-case ein voller Dump haette erledigt werden koennen und zaehlt die zugreifbaren Datenbank-Elemente auf, ob dies der Fall ist oder nicht wurde afaik noch nicht bestaetigt.
Die Medien hingegen sprechen in bester Bild-Manier schon von groesstem Datenklau der Internet-Geschichte.
Natuerlich wollen die Kunden immer alles wissen, aber Microsoft und Konsorten verraten ja auch nicht bereitwillig der Masse dass ein neues 0day in Umlauf ist bis dass sie einen Fix oder Workaround implementieren konnten.
Mich interessiert ob es schon Fakten -also aufgetauchte Inhalte- aus der Datenbank gibt. Sony sagt lediglich dass ein Zugriff auf die Daten bestanden haette und somit im worst-case ein voller Dump haette erledigt werden koennen und zaehlt die zugreifbaren Datenbank-Elemente auf, ob dies der Fall ist oder nicht wurde afaik noch nicht bestaetigt.
Die Medien hingegen sprechen in bester Bild-Manier schon von groesstem Datenklau der Internet-Geschichte.
Hallo!
Sony sagt (jetzt) das CVC oder CSC nie abgefragt, benötigt und gespeichert wurde:
Irgendwie scheint das alles nicht wirklich zusammen zu passen.
Quelle: http://blog.us.playstation.com/2011/04/27/qa-1-for-playstation-network-and-qriocity-services/
mfG
Thorsten
Sony sagt (jetzt) das CVC oder CSC nie abgefragt, benötigt und gespeichert wurde:
Irgendwie scheint das alles nicht wirklich zusammen zu passen.
Quelle: http://blog.us.playstation.com/2011/04/27/qa-1-for-playstation-network-and-qriocity-services/
mfG
Thorsten
