Sony Pictures Online hacket med "Primitiv og vanlig" sårbarhet, data ukryptert [Nyheter]

Annonse

Torsdag kveld kunngjorde hackergruppen «LulzSec» via Twitter at de hadde fått tilgang til SonyPictures.com og stjålet over 1 million kontoer, passord og sensitiv brukerinformasjon. Kort tid etter at nyheten kom, dukket det opp kopier av de kompromitterte dataene på fildelingsnettsteder (som MediaFire, hvor de ble fjernet) og BitTorrent-sporere inkludert The Pirate Bay.

Gruppen la igjen en melding på PasteBin som avslører hele omfanget av inntrengingen, som inkluderer tusenvis av e-post- og passordkombinasjoner, personlig informasjon (inkludert navn, adresser, fødselsdato og telefonnumre), nesten 3,5 millioner "musikkkuponger" og over 60 000 "musikk koder». Gruppen kunngjorde også at Sonys sikkerhet ble overvunnet av et enkelt SQL-injeksjonsangrep.

I en uttalelse, sa gruppen: "SonyPictures.com var eid av en veldig enkel SQL-injeksjon, en av de mest primitive og vanlige sårbarhetene, som vi alle burde vite nå. Fra en enkelt injeksjon fikk vi tilgang til ALT. Hvorfor setter du så stor tro på et selskap som lar seg åpne for disse enkle angrepene?”

Gruppen uttalte også: "Hver bit av data vi tok var ikke kryptert. Sony lagret over 1 000 000 passord fra kundene sine i klartekst, noe som betyr at det bare er å ta det. Dette er skammelig og usikkert: de ba om det.»

Gruppen har frigitt mye av de plyndrede dataene, selv om disse bare inneholder en liten mengde av de kompromitterte dataene. Fullstendige databaser har også blitt lagt ut på nettet, sammen med et tekstdokument for databaselayout for å hjelpe utvinningen av data. Databasen inneholder både militære og offentlige e-post- og passordkombinasjoner, og også adminkontoer til Sony Pictures Online.

Følgende utdrag er hentet fra "FILE CONTENTS.txt"-dokumentet som følger med LulzSecs begrensede utgivelse:

Innholdet i vårt plyndring:
## Sony_Pictures_International_AUTOTRADER_USERS.txt ##– I denne filen finner du i underkant av 12 500 kunder hos Sony; dette inkluderer fødselsdatoer, adresser, e-poster, fulle navn, passord, bruker-IDer og personlige telefonnumre.
## Sony_Pictures_International_BEAUTY_USERS.txt ##– I denne filen finner du i underkant av 21 000 kunder hos Sony; dette er en enkel e-post/passordslipp. Kos deg med å stjele kontoen din.
## Sony_Pictures_International_COUPONS.txt ##– I denne filen finner du i underkant av 20 000 Sony musikkkuponger; Vær oppmerksom på at det er 3,5 millioner kuponger å ta – skaff dem.
## Sony_Pictures_International_DELBOCA_USERS.txt ##– I denne filen finner du i underkant av 18 000 kunder hos Sony; dette er en enkel e-post/passordslipp. Igjen, nyt å stjele.
## Sony_Pictures_International_MUSIC_CODES.txt ##– I denne filen finner du i underkant av 67 000 Sony-musikkkoder; de er som magneter, vi har rett og slett ingen anelse om hvordan de fungerer.
## Sony_Pictures_International_TABLE_LAYOUT.txt ##– I denne filen finner du layouten til databasen; det betyr at du enkelt kan se hvor du kan stjele ting fra.
Merk at databasen inneholder langt mer brukerinformasjon/kuponger enn vi tok. Poenget er at vi hadde kontroll på dem; alle sammen. Resten overlater vi til deg – stjel så mye du vil, fortsett!
EKSTRA EIE:
## Sony_BMG_Music_Entertainment_NETHERLANDS ##– Denne filen inneholder brukerdatabasen til BMG Netherlands; det er rundt 600 brukernavn, e-poster og passord. Nyt.
## Sony_BMG_Music_Entertainment_BELGIUM ##– Denne filen inneholder Sony admin database for BMG Belgium; også masse strekkoder, utgivelsesdatoer og annen saftig dritt.

Gruppen var også ansvarlig for flere andre nylige sikkerhetsbrudd, inkludert forringelsen av nettstedet til Public Broadcasting Service (PBS) og Sony Music of Japan. Sony har erkjent påstandene og skal etterforske saken.

Kilde: LulzSecurity.com / @LulzSec
Tror du at du kunne gjort en bedre jobb med sikkerhet? Sint på Sony for ikke å beskytte informasjonen din? Sint på hackerne for å ha stjålet den i utgangspunktet? Luft ut litt damp i kommentarene nedenfor!