Condividere:
Sony Pictures Online ha hackerato la vulnerabilità primitiva e comune, dati non crittografati [News]
![Sony Pictures Online ha hackerato la vulnerabilità primitiva e comune, dati non crittografati [News] / Internet](http://ephesossoftware.com/img/images_17/sony-pictures-online-hacked-using-primitive-and-common-vulnerability-data-unencrypted-[news].jpg)
Giovedì sera, gruppo di hacker “LulzSec” hanno annunciato via Twitter di aver avuto accesso a SonyPictures.com e di aver rubato oltre 1 milione di account, password e informazioni utente sensibili. Poco dopo la notizia, le copie dei dati compromessi stavano emergendo sui siti di condivisione di file (come MediaFire, dove è stata rimossa) e tracker BitTorrent tra cui The Pirate Bay.
Il gruppo ha lasciato un messaggio su PasteBin rivelando l'intera portata dell'intrusione, che include migliaia di combinazioni di e-mail e password, informazioni personali (inclusi nomi, indirizzi, date di nascita e numeri di telefono), quasi 3,5 milioni “buoni musicali” e oltre 60.000 “codici musicali”. Il gruppo ha anche annunciato che la sicurezza di Sony è stata superata da un semplice attacco SQL injection.
In una dichiarazione, il gruppo ha detto: “SonyPictures.com era di proprietà di un'iniezione SQL molto semplice, una delle vulnerabilità più primitive e comuni, come dovremmo sapere ormai. Da una singola iniezione, abbiamo accesso a TUTTO. Perché metti tanta fiducia in un'azienda che si lascia aprire a questi semplici attacchi?”
Il gruppo ha anche dichiarato: “Ogni bit di dati che abbiamo preso non è stato crittografato. Sony ha archiviato oltre 1.000.000 di password dei suoi clienti in testo semplice, il che significa che si tratta solo di prenderlo. Questo è vergognoso e insicuro: lo stavano chiedendo.”
Il gruppo ha rilasciato molti dei dati saccheggiati, sebbene questi contengano solo una piccola quantità di dati compromessi. Sono stati inoltre pubblicati online database completi, insieme a un documento di testo con layout di database per facilitare l'estrazione dei dati. Il database contiene sia le email e le password militari e governative, sia gli account di amministrazione di Sony Pictures Online.
Il seguente estratto è stato preso dal “FILE CONTENTS.txt” documento che accompagna la versione limitata di LulzSec:
Contenuto del nostro bottino:
## Sony_Pictures_International_AUTOTRADER_USERS.txt ## - In questo file troverai poco meno di 12.500 clienti Sony, inclusi date di nascita, indirizzi, e-mail, nomi completi, password, ID utente e numeri di telefono personali.
## Sony_Pictures_International_BEAUTY_USERS.txt ## - In questo file troverai meno di 21.000 clienti di Sony, si tratta di una semplice caduta di email / password. Goditi il furto del tuo account.
## Sony_Pictures_International_COUPONS.txt ## - In questo file troverai poco meno di 20.000 coupon musicali Sony, tieni presente che ci sono 3,5 milioni di coupon da prendere - prendili.
## Sony_Pictures_International_DELBOCA_USERS.txt ## - In questo file troverai meno di 18.000 clienti di Sony, si tratta di un semplice drop di email / password. Di nuovo, goditi il tuo furto.
## Sony_Pictures_International_MUSIC_CODES.txt ## - In questo file troverai meno di 67.000 codici musicali Sony, sono come i magneti, semplicemente non abbiamo idea di come funzionano.
## Sony_Pictures_International_TABLE_LAYOUT.txt ## - In questo file troverai il layout del database, il che significa che puoi facilmente vedere dove rubare le cose.
Si noti che il database contiene molte più informazioni utente / coupon che abbiamo preso. Il punto è che ne avevamo il controllo; tutti. Lasciamo il resto a te - ruba quanto vuoi, vai avanti!
PROPRIETA 'AGGIUNTIVA:
## Sony_BMG_Music_Entertainment_NETHERLANDS ## - Questo file contiene il database utente di BMG Paesi Bassi, si tratta di circa 600 nomi utente, e-mail e password. Godere.
## Sony_BMG_Music_Entertainment_BELGIUM ## - Questo file contiene il database di amministrazione di Sony di BMG Belgium, anche molti codici a barre, date di rilascio e altre cazzate succose.
Il gruppo è stato anche responsabile di diverse altre recenti violazioni della sicurezza, tra cui il defacement del sito Web di Public Broadcasting Service (PBS) e Sony Music of Japan. Sony ha riconosciuto le affermazioni e si dice che stia indagando.
Fonte: LulzSecurity.com / @LulzSec
Pensi di poter fare un miglior lavoro di sicurezza? Sei arrabbiato con Sony per non aver protetto le tue informazioni? Angry con gli hacker per averlo rubato in primo luogo? Sfogare un po 'di vapore nei commenti qui sotto!