Sony: Wir können alles, außer Datenschutz

Ich muß zugeben, ich bin ziemlich überrascht. Weniger darüber, daß es jemandem gelungen ist, Sonys Sicherheitsvorkehrungen zu umgehen und ins PSN einzubrechen, sondern darüber, daß Sony ganz offensichtlich elementarste Vorkehrungen zum Verbraucher- und Datenschutz absichtlich unterlassen hat — wozu auch, stellt man sich doch viel einfacher von solcherlei lästigem Ballast per AGB frei?

16. GARANTIEAUSSCHLUSS UND BESCHRÄNKUNG DER HAFTUNG
Über das in diesen Bedingungen Gesagte hinaus geben wir keinerlei Garantie in Bezug auf die Qualität, Funktionalität, Verfügbarkeit, Vollständigkeit, Genauigkeit oder Leistung von Sony Online Network oder von Dienstleistungen, die über Sony Online Network zur Verfügung gestellt werden. Wir geben keinerlei Garantie, dass Sony Online Network jederzeit verfügbar oder fehlerlos ist und übernehmen keine Haftung, wenn Sie Dienstleistungen nicht erwerben können sollten. […]
Wir schließen jede Haftung für den Verlust von Daten oder nicht autorisierten Zugang zu Ihren Daten, Ihrem “Sony Online Network”-Konto oder “Sony Online Network”-Guthaben und für Schäden an Ihrer Software oder Ihrer Hardware aus, die das Ergebnis Ihrer Nutzung von Sony Online Network sind oder durch Ihren Zugang zu Sony Online Network entstehen mögen. Sie sind für die Zahlung von Gebühren an Ihren Internet Service Provider sowie für andere Gebühren im Zusammenhang mit Ihrer Nutzung von Sony Online Network verantwortlich, einschließlich einer Erhöhung dieser Gebühren aufgrund Ihrer Nutzung von Sony Online Network.
Falls wir Ihnen gegenüber für das Versäumnis, Dienstleistungen zu liefern, haftbar sein sollten, beschränkt sich unsere Haftbarkeit darauf, entweder die entsprechenden Dienstleistungen bereitzustellen oder (nach unserem Ermessen) darauf, Ihnen den Betrag, den Sie für die Dienstleistung bezahlt haben, auf Ihr “Sony Online Network”-Guthabenkonto zu erstatten. Unsere Haftbarkeit ist auf €40 (oder den Gegenwert in Landeswährung) beschränkt oder – wenn darüber hinausgehend – auf den Betrag des ungenutzten “Sony Online Network”-Guthabens.
Diese Bedingungen stellen Ihre einzigen und ausschließlichen Rechte im Zusammenhang mit Sony Online Network dar. Die vorliegenden Bedingungen und die vorgenannten Beschränkungen, Ausnahmen und Ausschlussklauseln gelten im maximalen, von den einschlägigen Gesetzen gestatteten Maße. Als Verbraucher können Sie jedoch andere Rechte haben, auf die sich diese Bedingungen nicht auswirken.
Version 5.1 (April 2011)

 
Mal davon abgesehen, daß es fraglich sein dürfte, ob eine derartige Einschränkung nach deutschem Recht wirksam ist; da Sony die eigenen Zusagen der Datenschutzrichtlinie nicht eingehaöten hat, gehören sie schon moralisch kielgeholt, und das geht in der heutigen Welt nur durch empfindliche Strafen.

11. Sicherheit
Wir unternehmen angemessene technische und organisatorische Schritte, um den nicht autorisierten Zugang zu Ihren Daten oder deren Offenlegung auf ein Minimum zu beschränken. Wir garantieren jedoch nicht, dass wir alle Risiken des Missbrauchs Ihrer persönlichen Daten durch “Eindringlinge” ausschließen können. Sie sind verpflichtet, Ihr Passwort geheim zu halten, um […]
Version 4.4 (Februar 2011)

 
Angemessen wäre eine wirksame Verschlüsselung bei der Speicherung der Daten gewesen. Aber das war Sony der Schutz der User nicht wert; alle Risiken und Pflichten durch juristische Schreiberlinge auf den User abzuwälzen war sicherlich billiger …
Großes Kino auch, daß Sony die Klagekeule rausholte, als findige Tüftler geheime Schlüssel in Sony-Hard-/Software ausbuddelten; denn wenn es um den eigenen Profit geht, scheut Sony weder Kosten noch Mühen und beruft sich auf schützende rechtliche Regelungen. Die Vermögenswerte der eigenen Kunden hingegen waren Sony weder eine wirksame Verschlüsselung wert, noch möchte Sony schadensersatzpflichtig sein, wenn sie, wie jetzt geschehen, die Hosen runterlassen müßten. Das Sony seine Kunden selbst für die Kommunikation zu dieser unglaublichen Schlamperei auch noch zur Kasse bittet wundert dann auch nicht mehr:

Sony hat eine FAQ veröffentlicht, in der die dringendsten Fragen zum Hack beantwortet werden. […] Etwas unverständlich ist jedoch, warum es sich hierbei um eine 01805-Nummer handelt, […]

 
It’s not a fake, that is Sony …

WTF? Vorauseilender Gehorsam mit Anzeigeoption?

This just in (Hervorhebung von mir; Namen entfernt):

zurzeit häufen sich die Pressemitteilungen von Hackerangriffen und Datendiebstählen. Auch einige Onlinehändler sehen sich vermehrten Angriffen von Hackern ausgesetzt. Die […] kann nicht ausschließen, auch Opfer solcher Angriffe zu werden.
Um Ihre Sicherheit nicht zu gefährden, ergreift die […] weitere Sicherheitsmaßnahmen.
Ihr Kundenpasswort für […] haben wir zurückgesetzt. Ihr neues Kundenpasswort können Sie unter folgendem Link anfordern: […]
[…] Ein möglicher Datendiebstahl wird mit Hilfe der Kriminalpolizei und einer externen Sicherheitsfirma untersucht und mit allen uns zur Verfügung stehenden Mitteln bekämpft.
Wir versichern, dass wir Ihre Daten nicht an Dritte weitergeben oder weiter gegeben haben. Bankdaten oder Daten aus Zahlungen anderen Institute (z. B. […]) sind davon nicht betroffen, […].
[…]Bei dieser E-Mail handelt es sich um keine Werbeemail, sondern nur um eine Presseinformation zum Schutz Ihrer persönlichen Daten.
Die Kommunikation mit Ihnen ist uns wichtig.
Mit freundlichen Grüßen:

 
Also, weil man Opfer eines Angriffes werden könnte (Konjunktiv, auf die Zukunft gerichtet), hat man Passwörter schon zurückgesetzte (Fakten jetzt geschaffen) — und den Kunden quasi ausgesperrt. Und dann der »mögliche Datendiebstahl«, der nicht untersucht werden wird sondern wird. Also in der Vergangenheit (möglicherweise?) passiert ist, nicht erst passieren könnte. Wirklich nett, darüber informiert worden zu sein — nur: worüber jetzt, über einen weiteren Datendiebstahl, oder nur über extrem sonderbare »Vorsichtsmaßnahmen«?

Sony und die Onlinecontent-Seifenblase

Ich hab’s schon auf facebook gestern angerissen: PSN is down and will stay down for some time:

We have discovered that between April 17 and April 19, 2011, certain PlayStation Network and Qriocity service user account information was compromised in connection with an illegal and unauthorized intrusion into our network. In response to this intrusion, we have:
  1. Temporarily turned off PlayStation Network and Qriocity services;
  2. Engaged an outside, recognized security firm to conduct a full and complete investigation into what happened; and
  3. Quickly taken steps to enhance security and strengthen our network infrastructure by re-building our system to provide you with greater protection of your personal information.

[…] Although we are still investigating the details of this incident, we believe that an unauthorized person has obtained the following information that you provided: name, address (city, state, zip), country, email address, birthdate, PlayStation Network/Qriocity password and login, and handle/PSN online ID. It is also possible that your profile data, including purchase history and billing address (city, state, zip), and your PlayStation Network/Qriocity password security answers may have been obtained. If you have authorized a sub-account for your dependent, the same data with respect to your dependent may have been obtained. While there is no evidence at this time that credit card data was taken, we cannot rule out the possibility. If you have provided your credit card data through PlayStation Network or Qriocity, out of an abundance of caution we are advising you that your credit card number (excluding security code) and expiration date may have been obtained.[…]

Quelle: Sony USA

 
Ich will gar nicht so sehr auf meinen Disput mit Sony eingehen; die Schadenfreude rührt allerdings klar daher. Aus meiner Sicht sollte Sony jetzt den Kopf aus dem Säurebad nehmen (ist auch besser für den Teint), den Schwanz einklemmen und »OtherOS« wieder zugänglich machen — gebracht hat diese Deaktivierung wenn, dann nur eines: mehr Resourcen wurden angelockt sich Sony, die PS3 und das PSN mal genauer anzusehen …
Aber das ist nur die eine Seite der Medaille. Viel interessanter sind eigentlich zwei Dinge:

  1. Wie steht es um die Datensicherheit in Sonys Onlinedienst PSN?
  2. Was kann ich mit online erworbenen (»Download-«) Inhalten »offline«, also ohne Serververbindung anfangen?

Zur Datensicherheit kann ich natürlich nur spekulieren; aufgrund der Masse an (potentiell?) ergatterten Informationen, inklusive offensichtlich nutzbarer Repräsentationen der Passwörter, klingt es als wenig geschützt nach der Überwindung bestimmter Zugangshürden. Ob das für einen solchen Dienst der rechte Weg sein kann, ich habe so meine Zweifel …
Noch spannender aus meiner Warte aber ist die offensichtliche Blöße, die Sony sich grade gibt: von der Funktion des PSN abhängende Funktionen – zum Beispiel Onlineverifikation des legalen Spielererwerbs, Nutzung von Online-/Multiplayer-Funktionen, … – sind grade einfach »aus«. Ich kann also nicht nur nicht mit meinen »Freunden« online – mit- oder gegeneinander – spielen, nein, ich kann auch den PlayStation Chat, die exklusive Skype-Alternative, nicht nutzen. Keinen neuen Content kaufen, ggf. ihn nicht einmal nutzen. Schöne neue (Online-) Welt.
Und da wundert sich der Konzernlenker, daß Kunden die Angebote links und rechts liegen lassen? Eat your own dogfood …

Verdiente Quittung für #Sony – #PSN down, Steilvorlage gegen Onlineservices.

(Blogged via flickr)

Ich mache keinen Hehl daraus, daß ich mich grade naß mache bei der Erkenntnis, daß es offensichtlich jemand gelungen ist, auch Sony zu zeigen, was ‘ne Harke ist. Vor einem Jahr erklärte Sony den Krieg (mit der Enteignung in Form eines nutzlosen Zwangsupdates, welches nur die zu mindestens meinem Kauftermin zugesagte Eigenschaft, auch andere Betriebssysteme auf der legal erworbenen Hardware laufen zu lassen, entfernte); jetzt liegt das PSN augenscheinlich schon rd. eine Woche danieder. Ich find’s gut, auch wenn’s mich natürlich nervt, wieder einmal nicht dann so spielen zu können, wie ich es vorhatte. Aber so sind eben Sony und das PSN; man gewöhnt sich dran, immerhin muß man für diese Peinlichkeit nicht auch noch monatlich zahlen …

Kamera: Vignette Vignette for Android

The Good-Bye-Data-Blues

(Blogged via flickr)

… oder warum handelsübliche PC-Technik (hier: USB-Cardreader mit MicroSD im Adapter) nicht Car-Fi-tauglich ist. Ich habe aufgehört zu zählen, die wievielte SD das jetzt war, die kein Jahr im Auto überlebt hat; CDs hingegen überleben erstaunlicherweise deutlich länger.

Kamera: Vignette Vignette for Android

Kühles Dunkles …

(Blogged via flickr)

Ja, so lässt sich selbst diese Hitze aushalten. (Wegen Starkpollenflug ist schneller Verzehr angezeigt.)

Kamera: Nokia N900 (Brennweite 5.2mm, f/2.8)

Ozapft is!

(Blogged via flickr)

Pumpe angeschlossen: check. Ansaugvorgang abgeschlossen: check. Kinder sehen aus wie nach Schlammschlacht: check. Rasennachsaat aufgeschrieben: check …

Kamera: Vignette Vignette for Android