Sony Pictures Online'i häkkimine, kasutades "primitiivset ja tavalist" haavatavust, andmed on krüptimata [uudised]

Reklaam

Neljapäeva õhtul teatas häkkerirühmitus "LulzSec" Twitteri vahendusel, et nad said juurdepääsu saidile SonyPictures.com ning varastasid üle miljoni konto, parooli ja tundlikku kasutajateavet. Vahetult pärast uudise ilmumist ilmusid kahjustatud andmete koopiad failijagamisveebisaitidele (nt MediaFire, kust need eemaldati) ja BitTorrenti jälgijatel, sealhulgas The Pirate Bay.

Grupp jättis PasteBinile sõnumi, mis paljastas sissetungi täieliku ulatuse, mis hõlmab tuhandeid e-posti ja parooli kombinatsioone, isikuandmed (sh nimed, aadressid, sünniajad ja telefoninumbrid), ligi 3,5 miljonit "muusikakupongi" ja üle 60 000 "muusika" koodid”. Rühm teatas ka, et Sony turvalisuse alistas lihtne SQL-i süstimise rünnak.

sisse seisukohtrühm ütles: "SonyPictures.com kuulus väga lihtsale SQL-süstile, mis on üks primitiivsemaid ja levinumaid haavatavusi, nagu me kõik peaksime praeguseks teadma. Ühest süstist pääsesime KÕIGE juurde. Miks te usaldate ettevõtet, mis lubab end sellistele lihtsatele rünnakutele avatuks muuta?”

Rühm teatas ka: "Iga meie võetud andmete osa ei olnud krüptitud. Sony salvestas üle 1 000 000 oma klientide parooli lihttekstina, mis tähendab, et see tuleb lihtsalt võtta. See on häbiväärne ja ebakindel: nad küsisid seda.

Rühm on avaldanud suure osa röövitud andmetest, kuigi need sisaldavad vaid väikest hulka ohustatud andmeid. Internetis on postitatud ka täielikud andmebaasid koos andmebaasi paigutuse tekstidokumendiga, mis hõlbustab andmete väljavõtmist. Andmebaas sisaldab nii sõjaväe kui ka valitsuse e-posti ja paroolide kombinatsioone ning ka Sony Pictures Online'i administraatorikontosid.

Järgmine väljavõte on võetud LulzSeci piiratud väljalaskega kaasas olevast dokumendist „FILE CONTENTS.txt”.

Meie rüüstamise sisu:
## Sony_Pictures_International_AUTOTRADER_USERS.txt ##– Sellest failist leiate veidi alla 12 500 Sony kliendi; see hõlmab sünnikuupäevi, aadresse, e-kirju, täisnimesid, paroole, kasutajatunnuseid ja isiklikke telefoninumbreid.
## Sony_Pictures_International_BEAUTY_USERS.txt ##– Sellest failist leiate veidi alla 21 000 Sony kliendi; see on lihtne e-posti aadress/parool. Nautige oma konto varastamist.
## Sony_Pictures_International_COUPONS.txt ##– Sellest failist leiate veidi alla 20 000 Sony muusikakupongi; Pange tähele, et võtta on 3,5 miljonit kupongi – hankige need.
## Sony_Pictures_International_DELBOCA_USERS.txt ##– Sellest failist leiate veidi alla 18 000 Sony kliendi; see on lihtne e-posti aadress/parool. Jällegi, nautige oma varastamist.
## Sony_Pictures_International_MUSIC_CODES.txt ##– Sellest failist leiate veidi alla 67 000 Sony muusikakoodi; need on nagu magnetid, meil pole aimugi, kuidas need töötavad.
## Sony_Pictures_International_TABLE_LAYOUT.txt ##– Sellest failist leiate andmebaasi paigutuse; see tähendab, et näete hõlpsalt, kust asju varastada.
Pange tähele, et andmebaas sisaldab palju rohkem kasutajateavet/kuponge, kui me võtsime. Asi on selles, et meil oli nende üle kontroll; kõik nemad. Ülejäänu jätame teie otsustada – varasta nii palju kui tahad, mine edasi!
LISAOMADUS:
## Sony_BMG_Music_Entertainment_NETHERLANDS ##– See fail sisaldab BMG Netherlands kasutajate andmebaasi; see on umbes 600 kasutajanime, e-posti aadressi ja parooli. Nautige.
## Sony_BMG_Music_Entertainment_BELGIUM ##– See fail sisaldab BMG Belgium Sony administraatori andmebaasi; ka palju vöötkoode, väljalaskekuupäevi ja muud mahlast jama.

Rühm vastutas ka mitmete muude hiljutiste turvarikkumiste eest, sealhulgas avalik-õigusliku ringhäälingu teenuse (PBS) veebisaidi ja Sony Music of Japan rikkumine. Sony on väited tunnistanud ja väidetavalt uurib.

Allikas: LulzSecurity.com / @LulzSec
Kas arvate, et saaksite turvalisusega paremini hakkama? Kas olete Sony peale vihane, et see teie teavet ei kaitsnud? Kas olete häkkerite peale vihane, et nad selle varastasid? Laske allolevates kommentaarides veidi auru välja!