Hacking PSN

[Endrius]

Tra l'altro quell'articolo a me sa tanto di clusola compromissoria, ovvero clausole che fregano il consumatore, e i Italia sono valide solo se vengono sottoscritte a parte, non basta firmare a fine contratto.

[AndRe]

da quello che scrivete forse sono quello che ha speso più soldi sul psn qui in mezzo... in ogni caso per gli acquisti online uso sempre la poste pay che non ha mai più di 50 euro caricati e che mi scade tra tre mesi quindi non vedo sinceramente nulla di cui preoccuparsi.

 

vorrei però potere riconnettermi al psn entro maggio se possibile, la cosa inizia ad essere fastidiosa.

Modificato 28 Aprile, 2011 da AndRe

[Il grande Mu]

vorrei però potere riconnettermi al psn entro maggio se possibile, la cosa inizia ad essere fastidiosa.

 

 

Modificato 28 Aprile, 2011 da Il grande Mu

[Lando]

vorrei però potere riconnettermi al psn entro maggio se possibile, la cosa inizia ad essere fastidiosa.

 

Leggo ora che Sony sta inviando nuovi SDK agli sviluppatori, perciò la cosa dovrebbe risolversi a breve.

Inoltre pare che forzeranno il cambio di password del PSN.

[Shuji]

Famme capi'.

Stanno mandando dei kit di sviluppo aggiornati e sarebbe una buona notizia per quanto riguarda i tempi di ripristino del servizio?

[Lando]

Se hanno preparato dei dev-kits vuol dire che almeno la struttura del PSN è stata rinnovata o no?

[Endrius]

Si vocifera che sarà risolto per il 4 maggio.

[Shuji]

Se hanno preparato dei dev-kits vuol dire che almeno la struttura del PSN è stata rinnovata o no?

 

E' proprio il 'rinnovo', a partire da dei sorgenti, passando per la compilazione, etc, che mostra che hanno fatto un lavoro e che c'e' da fare un lavoro che va al di la' di una riattivazione 'rapida', sono cose per cui ci vuole tempo, se le novita' sono molte e considerando quanto appena passato vorranno avere certezze e quindi fare testing.

 

Un ritorno alla normalita' lo vedo tra un bel po' di giorni (ottimisticamente), per questo a leggere di diffusione di sdk un po' mi viene da sorridere al pensare ad un ripristino tra breve, in pratica e' la sony che dice, "ok, se non facciamo il sistema ex novo poco ci manca"

[Il grande Mu]

Sony denunciata per incauta custodia di dati sensibili da un utente americano.

 

Della serie, cornuti e mazziati

[kevin8]

Magari gli fanno pure una class action...

[War3333]

Viene dal sito innominabile quindi consideratelo con cautela ma ci sono delle lamentele su addebiti su carta non richiesti:

 

http://www.sankakucomplex.com/2011/04/28/psn-victims-report-credit-card-fraud/

 

Buono a sapersi che i dati delle carte erano criptati.

Modificato 29 Aprile, 2011 da War3333

[Shuji]

Viene dal sito innominabile quindi consideratelo con cautela ma ci sono delle lamentele su addebiti su carta non richiesti:

 

http://www.sankakuco...dit-card-fraud/

 

Buono a sapersi che i dati delle carte erano criptati.

 

Anche se la notizia e' vera si legge chiaramente:

 

Luckily American Express is very good at notifying me immediately after the first fraudulent purchase

 

Questa e' la REALTA' delle carte di credito, e francamente inizia pure a starmi un po' sullo stomaco il terrorismo fatto da media e similari a riguardo; comprare online e usare le carte online e' sicuro. Le frodi specie a livello di clonazione vengono fatte quando le carte passano di mano *fisicamente* da soggetto ad altro (vd. ristorante, albergo, etc).

 

Tra l'altro c'e' un meccanismo di verifica particolare, reso agevole da internet, che fa scattare ogni campanello di allarme se vi sono profonde discrepanze di 'luogo' e localita' tra un uso ed un altro.

[War3333]

Ti dirò Shuji che come non andrei in giro con migliaia di euro nel portafogli non mi piace che una carta di credito abbia accesso al mio conto corrente.

Vorrei poter avere massimali piccoli da 30-50 euro e avere la possibilità di aumentarlo a piacere in caso di necessità (i metodi ci sono attualmente e sono discretamente sicuri)

 

Le ricaricabili effettivamente da questo punto sono quello che voglio ma noto che spesso non vengono accettate cosa che è noiosa.

[Endrius]

La Sony ha annunciato che farà un regalo agli utenti PSN, ma non sanno manco loro cosa.

[Shuji]

Ti dirò Shuji che come non andrei in giro con migliaia di euro nel portafogli non mi piace che una carta di credito abbia accesso al mio conto corrente.

Vorrei poter avere massimali piccoli da 30-50 euro e avere la possibilità di aumentarlo a piacere in caso di necessità (i metodi ci sono attualmente e sono discretamente sicuri)

 

Le ricaricabili effettivamente da questo punto sono quello che voglio ma noto che spesso non vengono accettate cosa che è noiosa.

 

Capiamoci.

Le possibilita' che ci sia qualcuno che sniffi i dati della carta di credito sono quelli per i quali stai potentemente sul c*lo a qualche hacker, che intercetti la tua precisa operazione quando la fai, sapendo che sei tu a farla, e in genere altro non e' che interporsi da qualche parte della connessione che stai usando, anteponendosi alla chiave di cifratura a 128bit e generando un fake.

 

(che comunque si puo' sgamare semplicemente controllando)

 

Parliamo quindi di tutta una serie di concomitanze niente male.

 

Ossia per avere una possibilita' che accada, dovresti fare le tue operazioni riservate in un ambiente pubblicamente accessibile e senza controlli da parte di nessuno. Considerando che il primo ad essere impalato in questi casi e' il sistemista, ho i miei seri dubbi che esista un paradiso © del genere.

 

Per questo dico e ribadisco che e' molto, molto, assai molto di piu' probabile che una carta di credito venga clonata dopo una doppia strisciata in un qualunque negozio o attivita' inconsapevole, che mandando dei dati crittografati 'on fly' e con chiave asimmetrica su internet.

 

Lascia perdere poi la chiave di codifica dei dati di tali che vengono immagazzinati da qualche parte, se avranno utilizzato in sony qualcosa di piu' di un hash md5 e' tutto oro che cola.

(ma forse in questo caso sono molto piu' cattivo del dovuto, magari usano codifiche piu' esoteriche. Poi pero' uno fa mente locale al gran casino e...)

[mtpgpp]

La Sony ha annunciato che farà un regalo agli utenti PSN, ma non sanno manco loro cosa.

 

la butto là, che faccia scaricare gratis qualche gioco non recentissimo?

[Endrius]

O un mega scontone, insomma sarà roba che non fregherà niente a nessuno, mica introducessero di nuovo Linux o un lettore multimediale per gli mkv o la compatibilità ps2 via software.

[jetblack]

Beh magari daranno il plus a tutti gratis per un mese o più ^^

cmq si vocifera che ci saranno aggiornamenti alle funzionalità del psn

tipo cross game chat, video chat

 

vedremo quando tutto sarà online (ci sarà un nuovo firmware da scaricare)

[War3333]

Shuji, parliamo di una sito a caso. Booking.com

Per fare una prenotazione su Booking.com tu devi fornire tutti i tuoi dati personali compreso dove abiti, il numero di carta di credito, la scadenzae il codice segreto a tre cifre sul retro della tessera.

Fin qui tutto normale.

Poi, se non leggi le condizioni, tu pensi che questi dati vengano usati esclusivamente da Booking.

 

I dati arrivano via FAX alla struttura!

Io ho un faldone con una cinquantina di fogli, e sono un piccolo BEB, di dati personali per tutte le prenotazioni della stagione e sono solo ad inizio stagione.

Il faldone non può essere tenuto in cassaforte perchè deve essere alla mano ed è in un cassetto con chiave e io ho il mio bel foglio di procedura di gestione dei dati personali in cui c'è scritto che solo le tal persone accedono al faldone usando la chiave e per la legge sono a posto, inoltre sullo stesso foglio c'è scritto che appena i dati non servono più verranno distrutti tramite triturazione ed ho un distruggidocumenti che non fa altro.

 

Ora ti dirò che uno veramente malintenzionato un albergo che seplicemente cestina i fogli strappandoli solo a metà lo trova... ed un hotel con 50 o 100 camere in agosto è capace di avere dati di carte per qualche migliaio di persone.

 

Poi fai tu quanto sia difficile avere i dati.

Molte aziende su internet non sono altro che negozietti con il POS, ti chiedono i dati per poi inserirli a mano nel loro POS per fare il pagamento, le procedure di sicurezza le avranno anche loro ma non tutti hanno la linea diretta con VISA per fare i pagamenti direttamnete dal WEB.

 

Poi fai tu

 

Per il premio Sony io opto per un contenuto gratis a scelta che non superi un certo prezzo.

Modificato 29 Aprile, 2011 da War3333

[Shuji]

eh eh

 

E tutto questo che a a che fare con il discorso 'online'?

 

Anzi, corrobora quanto dicevo; il problema non e' il discorso di usare la carta di credito online, ma l'inadeguatezza di talune strutture, le quali a loro volta sono anche come dicevo io la vera fonte di problemi.

 

Per il resto, scusa, ma la gestione cui accenni e' agghiacciante.

Anche con il piu' sfigato OSCommerce puoi sistemare il sistema in modo da usare un pos virtuale da banca sella et similia, e i dati non vengono certo fatti circolare via fax.

[War3333]

Se c'è passaggio di denaro diventa un inferno di documentazione in maggior modo se lavori tra più stati.

La maggior parte degli intermediatori online semplicemente passa i tuoi dati a chi realmente stà vendendo così non c'è un doppio passaggio di denaro (con aggiunte i IVA perchè è come se rivendessi il prodotto).

 

Non è questione di inadeguatezza, la stessa VISA ti obbliga a fare così perchè qualsiasi servizio di Ecommerce non è incluso nel contratto, tu hai il tuo POS e con quello ti devi arrangiare, e non include alcun servizio di Ecommerce che dovresti pagarti di tasca tua e non è che la VISA o chi per lei non ti faccia già pagare poco di commissione.

La maggior parte dei servizi online che non fanno addebito immediato semplicemente registrano i dati in attesa che qualcuno li inserisca a manina nel POS in dotazione.

 

Quello che ti ho detto è pressochè la normalità non l'eccezione.

 

E comunque anche se ogni ditta fosse in possesso di un POS virtuale dove fare le operazioni questo comporterebbe comunque un passaggio di dati delle carte di credito da chi prende i dati a chi fa l'addebito, che non è diverso che mandarlo via fax.

Modificato 29 Aprile, 2011 da War3333

[Shuji]

Ripeto, OSCommerce (giusto per prendere il piu' conosciuto e 'free') ha un fork per gestpay da almeno 5 anni, e chiunque gestisce da un bel po' di anni un sito di vendite online si affida ai pos virtuali di banca sella e similari.

 

Se poi ci sono realta' particolari in cui vengono mandati stampate di dati (delirio) via fax a fronte di una connessione protetta, amen, siamo in italia.

[War3333]

Se poi ci sono realta' particolari in cui vengono mandati stampate di dati (delirio) via fax a fronte di una connessione protetta, amen, siamo in italia.

 

http://www.booking.com/

 

Giusto realtà italiane

Questo è uno dei maggiori siti di prenotazioni alberghiere a livello mondiale.

L'altro è Venere, che lavora UGUALE UGUALE.

Evidentemente se fanno così un motivo ci deve essere.

 

Edit: Il fatto che sia opensource non lo rende gratuito. Io saprei implementarlo ma molta gente dovrebbe pagare qualcuno per integrarlo nel proprio sito... e i webdesigner si fanno pagare per queste cose e molto. Inoltre il POS virtuale ha commissioni aggiuntive rispetto a uno classico cosa che per un albergo che deve solo controllare se una carta di credito ha disponibilità o meno senza prelevare realmente è solo un costo aggiuntivo.

 

Edit2: Inoltre hai parlato di controlli incrociati, ma non sempre i pagamenti sono fatti al momento. Molti siti di vendita di figure fanno l'addebito al momento della spedizione e non quando fornisci i dati.

E molte volte sono loro stessi ad inserirli nel sistema dai dati registrati nel profilo e non tu da una pagina dedicata ogni volta.

Come li distingui da degli addebiti fraudolenti?

 

Edit3 l'ultimo ;^^: Io stesso come albergo non ho alcuna necessità di prelevare i soldi subito. Mi serve solo un controllo che la carta di credito sia valida. Passato il periodo in cui si può disdettare blocco la cifra, senza prelevarla, sulla carta di credito.

Se il cliente si presenta lascio cadere ogni limite e faccio decidere al cliente come saldare potrebbe anche preferire usare un'altra carta o volerlo fare in contanti, se il cliente invece non si presenta procedo ad incassare la cifra richiesta per il noshow. Tutte operazioni fatte a distanza di tempo non credo ci sia alcun sistema online in grado di gestire una cosa così complessa in tutte le sue implicazioni se non quello di passare i dati della carta e lasciar fare al gestore. Dopotutto io ho firmato un contratto con booking e con la VISA di riservatezza e si suppone che lo rispetti.

Modificato 29 Aprile, 2011 da War3333

[Shuji]

Giusto realtà italiane

Questo è uno dei maggiori siti di prenotazioni alberghiere a livello mondiale.

L'altro è Venere, che lavora UGUALE UGUALE.

Evidentemente se fanno così un motivo ci deve essere.

 

Sistemi che funzionano in un certo modo da anni, e che molto si basano sulle dicerie dei 'problemi' dell'online, quando nella realta' le cose stanno all'opposto.

 

Edit: Il fatto che sia opensource non lo rende gratuito. Io saprei implementarlo ma molta gente dovrebbe pagare qualcuno per integrarlo nel proprio sito... e i webdesigner si fanno pagare per queste cose e molto. Inoltre il POS virtuale ha commissioni aggiuntive rispetto a uno classico cosa che per un albergo che deve solo controllare se una carta di credito ha disponibilità o meno senza prelevare realmente è solo un costo aggiuntivo.

 

Ma ha adempimenti relativi quasi azzerati.

 

Edit2: Inoltre hai parlato di controlli incrociati, ma non sempre i pagamenti sono fatti al momento. Molti siti di vendita di figure fanno l'addebito al momento della spedizione e non quando fornisci i dati.

E molte volte sono loro stessi ad inserirli nel sistema dai dati registrati nel profilo e non tu da una pagina dedicata ogni volta.

Come li distingui da degli addebiti fraudolenti?

 

E' ininfluente questo, in quanto il 'danno' c'e' appunto all'atto dell'autorizzazione per il pagamento ricevuta dal circuito, e se tu che vivi in Italia e continui a fare operazioni in Italia ad un certo punto fai originare un'operazione dalle filippine, minimo ti cercano per sapere se sei realmente tu a fare l'operazione.

 

Edit3 l'ultimo ;^^: Io stesso come albergo non ho alcuna necessità di prelevare i soldi subito. Mi serve solo un controllo che la carta di credito sia valida. Passato il periodo in cui si può disdettare blocco la cifra, senza prelevarla, sulla carta di credito.

Se il cliente si presenta lascio cadere ogni limite e faccio decidere al cliente come saldare potrebbe anche preferire usare un'altra carta o volerlo fare in contanti, se il cliente invece non si presenta procedo ad incassare la cifra richiesta per il noshow. Tutte operazioni fatte a distanza di tempo non credo ci sia alcun sistema online in grado di gestire una cosa così complessa in tutte le sue implicazioni se non quello di passare i dati della carta e lasciar fare al gestore. Dopotutto io ho firmato un contratto con booking e con la VISA di riservatezza e si suppone che lo rispetti.

 

E qual e' il problema?

Chiedi un autorizzazione di 'test' al circuito, per l'essere il circuito 'differito' di addebito di circa un mese, c'e' tutto il tempo di confermare l'accredito o lasciarlo scadere.

Al massimo qua ci potrebbe essere qualche problema proprio con le carte di debito travestite che sono le ricaricabili, che invece non sono nella realta' carte di credito, altro motivo per il quale, a seconda del funzionamento del sistema usato, possono creare problemi, e che per me rimangono un curioso ibrido.

[War3333]

Sistemi che funzionano in un certo modo da anni, e che molto si basano sulle dicerie dei 'problemi' dell'online, quando nella realta' le cose stanno all'opposto.

 

O più semplicemente perchè devono lavorare con ogni tipo di clientela possibile, molti dei quali sono alberghi la cui iscrizione su Booking la fa la associazione albergatori per loro.

A parte il fax e l'email non hanno altro e non ci pensano nemmeno.

 

Ma ha adempimenti relativi quasi azzerati.

 

Mia zia ha la sua email (quella dell'albergo) in gestione privata (non ho ben capito cosa gli hanno venduto) la paga 60 euro al mese.

In pratica paga 60 euro per fare più o meno quello che puoi fare pagando Aruba 40 euro l'anno o se non ti frega del dominio gratis con gmail.

Lo so che è una fregatura, ma molti albergatori non sono tecnici, si fidano dei preventivi che gli vengono fatti, quanto pensi che gli farebbero costare la gestione ed implementazione di quel sistema che ho come l'impressione che abbia bisogno di una manutenzione periodica?

 

 

E' ininfluente questo, in quanto il 'danno' c'e' appunto all'atto dell'autorizzazione per il pagamento ricevuta dal circuito, e se tu che vivi in Italia e continui a fare operazioni in Italia ad un certo punto fai originare un'operazione dalle filippine, minimo ti cercano per sapere se sei realmente tu a fare l'operazione.

 

E qual e' il problema?

Chiedi un autorizzazione di 'test' al circuito, per l'essere il circuito 'differito' di addebito di circa un mese, c'e' tutto il tempo di confermare l'accredito o lasciarlo scadere.

Al massimo qua ci potrebbe essere qualche problema proprio con le carte di debito travestite che sono le ricaricabili, che invece non sono nella realta' carte di credito, altro motivo per il quale, a seconda del funzionamento del sistema usato, possono creare problemi, e che per me rimangono un curioso ibrido.

 

Ho unito le due risposte ed eliminato i quote perchè hanno lo stesso problema di fondo.

Non sempre basta un mese. Io ho figure ordinate che usciranno fra parecchi mesi, quando verranno spedite nessuno mi richiederà l'autorizzazione per il pagamento e non credo che sia ancora valida la prima quindi il pagamento risulterà originato dal paese dove il POS, che sia virtuale o reale, ha la sede.

E per l'albergo è uguale, io ho gente che mi prenota la camera con 7 o più mesi di anticipo per le occasioni particolari. Ad un certo punto devo poter infilare i dati e l'unica è averli registrati da qualche parte. Come fa SONY che te li mette nel profilo del PSN pronta ad utilizzarli quando tu chiederai un acquisto, e non credo proprio che il PSN si metta ad informare la banca che la tal Playstation con il tal IP stà facendo l'operazione, semplicemente qualsiasi sia la playstation se è loggata correttamente nel PSN e non c'è nessuna anomalia è valida e il pagamento può essere passato al POS virtuale.

 

Che poi stiamo divagando. Io non dico che la Carta non sia decentemente sicura, ma non è perfetta, e ti ho appena dimostrato che ci sono ancora metodologie di lavoro che rendono un rastrellamento dei dati delle carte discretamente facile da fare, anche in siti insospettabili.

E finchè c'è un ammanco di denaro su una prepagata è un conto, ma se mi ha preso i soldi dal conto (le "prepagate" legate al conto funzionano così) potrei non riuscire ad onorare una RID o una bolletta e trovarmi con spese aggiuntive o problemi con i fornitori perchè i soldi che in quel momento che servivano non c'erano per via di una operazione che non ho fatto.

E la banca ti assucuro che colpa mia o non colpa mia un pagamento senza soldi non me lo fa passare e le commissioni di massimo scoperto me le addebita lo stesso.

Poi dopo i dovuti controlli la VISA o chi per essa mi restituirà i soldi, con valuta di oggi... cosa che non mi leverà le commissioni e non mi risolverà i problemi di RID o RIBA respinte.

Modificato 29 Aprile, 2011 da War3333