Sony Pictures Online napadeno pomocí chyby zabezpečení „Primitive and Common“, data nešifrovaná [Novinky]

reklama

Ve čtvrtek večer hackerská skupina „LulzSec“ prostřednictvím Twitteru oznámila, že získala přístup na SonyPictures.com a ukradla více než 1 milion účtů, hesel a citlivých uživatelských informací. Krátce poté, co se tato zpráva objevila, se kopie kompromitovaných dat objevily na webech pro sdílení souborů (jako je MediaFire, kde byla odstraněna) a na sledovačích BitTorrent včetně The Pirate Bay.

Skupina zanechala zprávu na PasteBin odhalující plný rozsah vniknutí, který zahrnuje tisíce kombinací e-mailů a hesel, osobní údaje (včetně jmen, adres, dat narození a telefonních čísel), téměř 3,5 milionu „hudebních kuponů“ a více než 60 000 „hudebních kódy“. Skupina také oznámila, že zabezpečení společnosti Sony bylo překonáno jednoduchým útokem SQL injection.

v prohlášenískupina řekla: „SonyPictures.com vlastnila velmi jednoduchá injekce SQL, jedna z nejprimitivnějších a nejběžnějších zranitelností, jak bychom již všichni měli vědět. Z jediné injekce jsme měli přístup ke VŠEMU. Proč vkládáte takovou důvěru do společnosti, která se nechává otevřít těmto jednoduchým útokům?”

Skupina také uvedla: „Každý kousek dat, který jsme vzali, nebyl zašifrován. Společnost Sony uložila více než 1 000 000 hesel svých zákazníků v prostém textu, což znamená, že je stačí vzít. To je hanebné a nejisté: žádali o to.“

Skupina zveřejnila velkou část uloupených dat, i když tyto obsahují pouze malé množství kompromitovaných dat. Úplné databáze byly také zveřejněny online spolu s textovým dokumentem rozvržení databáze, který napomáhá extrakci dat. Databáze obsahuje jak vojenské, tak vládní kombinace e-mailů a hesel a také administrátorské účty pro Sony Pictures Online.

Následující výňatek byl převzat z dokumentu „FILE CONTENTS.txt“, který doprovází omezené vydání LulzSec:

Obsah naší kořisti:
## Sony_Pictures_International_AUTOTRADER_USERS.txt ##– V tomto souboru najdete necelých 12 500 zákazníků Sony; to zahrnuje data narození, adresy, e-maily, celá jména, hesla, ID uživatelů a osobní telefonní čísla.
## Sony_Pictures_International_BEAUTY_USERS.txt ##– V tomto souboru najdete necelých 21 000 zákazníků Sony; toto je jednoduché vypuštění e-mailu/hesla. Užijte si vykrádání účtu.
## Sony_Pictures_International_COUPONS.txt ##– V tomto souboru najdete necelých 20 000 hudebních kupónů Sony; Vezměte prosím na vědomí, že je třeba vzít 3,5 milionu kuponů – získejte je.
## Sony_Pictures_International_DELBOCA_USERS.txt ##– V tomto souboru najdete necelých 18 000 zákazníků Sony; toto je jednoduché vypuštění e-mailu/hesla. Opět si užijte své krádeže.
## Sony_Pictures_International_MUSIC_CODES.txt ##– V tomto souboru najdete necelých 67 000 hudebních kódů Sony; jsou jako magnety, prostě netušíme, jak fungují.
## Sony_Pictures_International_TABLE_LAYOUT.txt ##– V tomto souboru najdete rozložení databáze; to znamená, že snadno uvidíte, odkud věci ukrást.
Všimněte si, že databáze obsahuje mnohem více uživatelských informací/kupónů, než jsme vzali. Jde o to, že jsme je měli pod kontrolou; všichni. Zbytek necháme na vás – ukradněte, kolik chcete, jděte do toho!
DODATEČNÉ VLASTNICTVÍ:
## Sony_BMG_Music_Entertainment_NETHERLANDS ##– Tento soubor obsahuje databázi uživatelů BMG Netherlands; je to asi 600 uživatelských jmen, e-mailů a hesel. Užívat si.
## Sony_BMG_Music_Entertainment_BELGIUM ##– Tento soubor obsahuje databázi administrátorů Sony BMG Belgium; také spousta čárových kódů, data vydání a další šťavnaté sračky.

Skupina byla také zodpovědná za několik dalších nedávných narušení bezpečnosti, včetně znehodnocení webové stránky Public Broadcasting Service (PBS) a Sony Music of Japan. Sony tvrzení uznala a prý je vyšetřuje.

Zdroj: LulzSecurity.com / @LulzSec
Myslíte si, že byste mohli udělat lepší práci v oblasti bezpečnosti? Jste naštvaní na Sony, že nechrání vaše informace? Naštvaný na hackery, že to ukradli? Uvolněte páru v komentářích níže!