Playstation Network de Sony : des numéros de carte de crédit volés

Les pirates auraient mis sur le marché 2,2 millions d'identifiants bancaires censés appartenir aux clients de Sony. Une hypothèse concernant la faille du géant japonais commence à émerger.

Kevin Stevens, expert en sécurité chez TrendMicro, a découvert sur des forums spécialisés de pirates la mise en vente d'une base de données de 2,2 millions de numéros de carte de crédit censés appartenir aux clients du Playstation Network de Sony, et subtilisés lors de l'attaque qui a visé le groupe.
 

"Sony s'est même vu proposer de racheter cette base de données, mais a refusé", témoigne Kevin Stevens, qui précise également ne pas avoir pu consulter cette base de données, ni même pouvoir garantir l'authenticité des informations vendues par les pirates. Ces derniers annoncent cependant vendre  "noms, prénoms, adresses, codes postaux, pays, téléphones, adresses e-mail, mots de passe, dates de naissance, numéros de carte bancaire, CVV2 et dates d'expiration". Bref, la totalité des renseignements nécessaires pour réaliser des transactions en ligne.
 

Le célèbre expert en sécurité Brian Krebs a également posté de nombreuses captures d'écran des forums vendant ces données. Des témoignages qui arrivent alors que plusieurs utilisateurs du service de Sony disent avoir constaté des opérations suspectes sur leurs comptes.
 

Brian Krebs rapporte également une théorie expliquant l'origine de la fuite : la faille viendrait, selon "Chesh", un membre de psx-scene.com (site dédié au hacking de consoles de jeux),  de la disponibilité d'un nouveau CFW (OS personnalisé - custom firmware) pour la PlayStation 3. Ce dernier permettrait, une foi trafiqué, d'accéder à des informations du Playstation Network habituellement réservées aux développeurs. La manipulation permettrait donc aux utilisateurs de se connecter à un réseau déjà sécurisé et privé, et ainsi d'avoir aussi  accès à des données sensibles. Sony aurait été alerté par cette faille, mais ne l'aurait pas vérifiée.