Sony Pictures Online je vdrl z uporabo "primitivnih in običajnih" ranljivosti, podatki niso šifrirani [Novice]

Oglas

V četrtek zvečer je hekerska skupina “LulzSec” prek Twitterja objavila, da je pridobila dostop do SonyPictures.com in ukradla več kot milijon računov, gesel in občutljivih uporabniških podatkov. Kmalu po objavi novice so se kopije ogroženih podatkov pojavile na spletnih mestih za izmenjavo datotek (kot je MediaFire, kjer je bila odstranjena) in sledilnikih BitTorrent, vključno z The Pirate Bay.

Skupina je na PasteBin pustila sporočilo, ki razkriva celoten obseg vdora, ki vključuje na tisoče kombinacij e-pošte in gesel, osebni podatki (vključno z imeni, naslovi, datumi rojstva in telefonskimi številkami), skoraj 3,5 milijona »glasbenih kuponov« in več kot 60.000 »glasbenih kode«. Skupina je tudi objavila, da je bila Sonyjeva varnost premagana s preprostim napadom injekcije SQL.

V izjava, je skupina dejala: "SonyPictures.com je bil v lasti zelo preproste injekcije SQL, ene najbolj primitivnih in pogostih ranljivosti, kot bi morali vsi vedeti do zdaj. Z eno samo injekcijo smo dostopali do VSEGA. Zakaj tako verjamete v podjetje, ki si dovoli, da postane odprto za te preproste napade?

”

Skupina je tudi izjavila: "Vsak delček podatkov, ki smo ga vzeli, ni bil šifriran. Sony je shranil več kot 1.000.000 gesel svojih strank v golem besedilu, kar pomeni, da ga je treba samo vzeti. To je sramotno in negotovo: zahtevali so to."

Skupina je izdala velik del izropanih podatkov, čeprav ti vsebujejo le majhno količino ogroženih podatkov. Celotne zbirke podatkov so bile objavljene tudi na spletu, skupaj z besedilnim dokumentom o postavitvi baze podatkov, ki je v pomoč pri pridobivanju podatkov. Baza podatkov vsebuje kombinacije vojaške in državne e-pošte in gesel ter tudi skrbniške račune za Sony Pictures Online.

Naslednji izvleček je bil vzet iz dokumenta »FILE CONTENTS.txt«, ki spremlja omejeno izdajo LulzSec:

Vsebina našega plena:
## Sony_Pictures_International_AUTOTRADER_USERS.txt ##– V tej datoteki boste našli nekaj manj kot 12.500 strank Sony; to vključuje datume rojstva, naslove, e-pošto, polna imena, gesla, uporabniške ID-je in osebne telefonske številke.
## Sony_Pictures_International_BEAUTY_USERS.txt ##– V tej datoteki boste našli nekaj manj kot 21.000 strank Sony; to je preprosto spuščanje e-pošte/gesla. Uživajte v kraji računa.
## Sony_Pictures_International_COUPONS.txt ##– V tej datoteki boste našli nekaj manj kot 20.000 Sonyjevih glasbenih kuponov; upoštevajte, da je na voljo 3,5 milijona kuponov – pridobite jih.
## Sony_Pictures_International_DELBOCA_USERS.txt ##– V tej datoteki boste našli nekaj manj kot 18.000 strank Sony; to je preprosto spuščanje e-pošte/gesla. Spet uživajte v kraji.
## Sony_Pictures_International_MUSIC_CODES.txt ##– V tej datoteki boste našli nekaj manj kot 67.000 glasbenih kod Sony; so kot magneti, preprosto nimamo pojma, kako delujejo.
## Sony_Pictures_International_TABLE_LAYOUT.txt ##– V tej datoteki boste našli postavitev baze podatkov; to pomeni, da zlahka vidite, od kod ukrasti stvari.
Upoštevajte, da baza podatkov vsebuje veliko več uporabniških informacij/kuponov, kot smo jih vzeli. Bistvo je, da smo imeli nadzor nad njimi; vse. Ostalo prepuščamo vam – ukradite, kolikor želite, pojdite naprej!
DODATNA LASTNICA:
## Sony_BMG_Music_Entertainment_NETHERLANDS ##– Ta datoteka vsebuje uporabniško bazo podatkov BMG Nizozemska; to je okoli 600 uporabniških imen, e-pošte in gesel. Uživajte.
## Sony_BMG_Music_Entertainment_BELGIUM ##– Ta datoteka vsebuje skrbniško bazo podatkov Sony BMG Belgium; tudi veliko črtnih kod, datumov izdaje in drugega sočnega sranja.

Skupina je bila odgovorna tudi za več drugih nedavnih kršitev varnosti, vključno z uničenjem spletne strani javne radiotelevizije (PBS) in Sony Music of Japan. Sony je trditve priznal in naj bi preiskoval.

Vir: LulzSecurity.com / @LulzSec
Mislite, da bi lahko bolje opravili varnost? Ste jezni na Sony, ker ni zaščitil vaših podatkov? Jezen na hekerje, ker so ga ukradli? Pustite nekaj pare v spodnjih komentarjih!