Hirdetés

A Sony Pictures Online-t feltörték " primitív és általános" sebezhetőség, titkosítatlan adatok segítségével [Hírek] sonyhackCsütörtök este a „LulzSec” hackercsoport a Twitteren bejelentette, hogy hozzáfértek a SonyPictures.com oldalhoz, és több mint 1 millió fiókot, jelszót és érzékeny felhasználói információt loptak el. Nem sokkal a hír kirobbanása után a kompromittált adatok másolatai felkerültek a fájlmegosztó webhelyekre (például a MediaFire-re, ahonnan eltávolították) és a BitTorrent nyomkövetőkön, köztük a The Pirate Bay-en.

A csoport üzenetet hagyott a PasteBin-en, amely felfedte a behatolás teljes mértékét, amely több ezer e-mail- és jelszókombinációt tartalmaz, személyes adatok (beleértve a neveket, címeket, születési dátumokat és telefonszámokat), közel 3,5 millió „zenei kupon” és több mint 60 000 „zene” kódok”. A csoport azt is bejelentette, hogy a Sony biztonságát egy egyszerű SQL injekciós támadás legyőzte.

Ban ben nyilatkozat, a csoport azt mondta: „A SonyPictures.com tulajdonosa egy nagyon egyszerű SQL-injekció volt, az egyik legprimitívebb és legelterjedtebb sebezhetőség, amint azt már mindannyian tudnunk kell. Egyetlen injekcióból MINDENRE elértünk. Miért bízol ennyire egy olyan cégben, amely megengedi magának, hogy nyitottá váljon ezekre az egyszerű támadásokra?

instagram viewer

A Sony Pictures Online-t feltörték " primitív és általános" sebezhetőség, titkosítatlan adatok segítségével [Hírek] tweet

A csoport azt is kijelentette: „Az általunk felvett összes adat nem volt titkosítva. A Sony több mint 1 000 000 jelszavát tárolt ügyfelei egyszerű szövegben, ami azt jelenti, hogy csak el kell fogadni. Ez szégyenletes és bizonytalan: ezt kérték.”

A csoport nyilvánosságra hozta a kifosztott adatok nagy részét, bár ezek csak egy kis részét tartalmazzák a veszélyeztetett adatoknak. Teljes adatbázisok is megjelentek az interneten, valamint egy adatbázis-elrendezési szöveges dokumentum, amely segíti az adatok kinyerését. Az adatbázis katonai és kormányzati e-mail- és jelszókombinációkat, valamint a Sony Pictures Online rendszergazdai fiókjait is tartalmazza.

A Sony Pictures Online feltörése „Primitív és általános” sebezhetőség, titkosítatlan adatok [hírek] segítségével

A következő részlet a LulzSec korlátozott kiadását kísérő „FILE CONTENTS.txt” dokumentumból származik:

Rablásunk tartalma:
## Sony_Pictures_International_AUTOTRADER_USERS.txt ##– Ebben a fájlban a Sony alig 12 500 ügyfelét találja; ide tartoznak a születési dátumok, címek, e-mailek, teljes nevek, jelszavak, felhasználói azonosítók és személyes telefonszámok.
## Sony_Pictures_International_BEAUTY_USERS.txt ##– Ebben a fájlban a Sony alig 21 000 ügyfelét találja; ez egy egyszerű e-mail/jelszó bedobás. Élvezze a fióklopást.
## Sony_Pictures_International_COUPONS.txt ##– Ebben a fájlban alig 20 000 Sony zenekupon található; Kérjük, vegye figyelembe, hogy 3,5 millió kupont vehet igénybe – szerezze meg őket.
## Sony_Pictures_International_DELBOCA_USERS.txt ##– Ebben a fájlban a Sony alig 18 000 ügyfelét találja; ez egy egyszerű e-mail/jelszó bedobás. Még egyszer, élvezd a lopást.
## Sony_Pictures_International_MUSIC_CODES.txt ##– Ebben a fájlban alig 67 000 Sony zenei kód található; olyanok, mint a mágnesek, egyszerűen fogalmunk sincs, hogyan működnek.
## Sony_Pictures_International_TABLE_LAYOUT.txt ##– Ebben a fájlban megtalálja az adatbázis elrendezését; ez azt jelenti, hogy könnyen láthatja, honnan lophat el dolgokat.
Vegye figyelembe, hogy az adatbázis sokkal több felhasználói információt/kupont tartalmaz, mint amennyit vettünk. A lényeg az, hogy mi irányítottuk őket; mindegyikük. A többit rád bízzuk – lopj, amennyit csak akarsz, menj tovább!
TOVÁBBI TULAJDONSÁG:
## Sony_BMG_Music_Entertainment_NETHERLANDS ##– Ez a fájl tartalmazza a BMG Netherlands felhasználói adatbázisát; ez körülbelül 600 felhasználónév, e-mail-cím és jelszó. Élvezd.
## Sony_BMG_Music_Entertainment_BELGIUM ##– Ez a fájl tartalmazza a BMG Belgium Sony rendszergazdai adatbázisát; sok vonalkódot, megjelenési dátumot és egyéb szaftos szart is.

A csoport a közelmúltban számos más biztonsági incidensért is felelős volt, köztük a Public Broadcasting Service (PBS) webhely és a Sony Music of Japan megrontásáért. A Sony elismerte az állításokat, és állítólag vizsgálódik.

A Sony Pictures Online-t feltörték " primitív és általános" sebezhetőség, titkosítatlan adatok [Hírek] torrent segítségével

Forrás: LulzSecurity.com / @LulzSec
Úgy gondolja, hogy tudna jobb biztonsági munkát végezni? Dühös a Sonyra, amiért nem védi meg adatait? Dühös a hackerekre, amiért ellopták? Engedje ki a gőzt az alábbi megjegyzésekben!

Tim szabadúszó író, Melbourne-ben, Ausztráliában él. Követheti őt a Twitteren.