Joseph Goodman
0 
4499
1320
Torsdag aften, hackergruppe “LulzSec” annoncerede via Twitter, at de havde fået adgang til SonyPictures.com og stjålet over 1 million konti, adgangskoder og følsomme brugeroplysninger. Kort efter, at nyheden brød, overflader kopier af de kompromitterede data på filesharing-websteder (såsom MediaFire, hvor de blev fjernet) og BitTorrent-trackere inklusive The Pirate Bay.
Gruppen efterlod en besked på PasteBin, der afslørede det fulde omfang af indtrængen, som inkluderer tusinder af e-mail- og adgangskodekombinationer, personlige oplysninger (inklusive navne, adresser, fødselsdato og telefonnumre), næsten 3,5 millioner “musik kuponer” og over 60.000 “musik koder”. Gruppen annoncerede også, at Sonys sikkerhed blev overvundet af et simpelt SQL-injektionsangreb.
I en erklæring sagde gruppen: “SonyPictures.com blev ejet af en meget simpel SQL-injektion, en af de mest primitive og almindelige sårbarheder, som vi alle burde vide nu. Fra en enkelt injektion fik vi adgang til ALT. Hvorfor sætter du en sådan tro på et firma, der tillader sig at være åben for disse enkle angreb?”
Gruppen sagde også: “Hver bit data vi tog var ikke krypteret. Sony lagrede over 1.000.000 adgangskoder for sine kunder i klartekst, hvilket betyder, at det bare er et spørgsmål om at tage det. Dette er skammeligt og usikkert: de bad om det.”
Gruppen har frigivet meget af de plyndrede data, skønt disse kun indeholder en lille mængde af de kompromitterede data. Der er også udgivet komplette databaser online sammen med et tekstdokument til et databaslayout for at hjælpe med udtrækningen af data. Databasen indeholder både militære og regerings-e-mail- og adgangskodekombinationer og administratorkonti til Sony Pictures Online.
Følgende uddrag blev taget fra “FIL INDHOLD.txt” dokument, der ledsager LulzSecs begrænsede udgivelse:
Indholdet af vores plyndring:
## Sony_Pictures_International_AUTOTRADER_USERS.txt ## - I denne fil finder du knap 12.500 kunder hos Sony; dette inkluderer fødselsdato, adresser, e-mails, fulde navne, adgangskoder, bruger-id'er og personlige telefonnumre.
## Sony_Pictures_International_BEAUTY_USERS.txt ## - I denne fil finder du lige under 21.000 kunder fra Sony; dette er et enkelt drop / email / password. Nyd din konto stjæler.
## Sony_Pictures_International_COUPONS.txt ## - I denne fil finder du knap 20.000 Sony-musikkuponer; bemærk at der er 3,5 millioner kuponer at tage - få dem.
## Sony_Pictures_International_DELBOCA_USERS.txt ## - I denne fil finder du knap 18.000 kunder hos Sony; dette er et enkelt drop / email / password. Igen, nyd din stjæle.
## Sony_Pictures_International_MUSIC_CODES.txt ## - I denne fil finder du knap 67.000 Sony-musiknumre; de er som magneter, vi har simpelthen ingen idé om, hvordan de fungerer.
## Sony_Pictures_International_TABLE_LAYOUT.txt ## - I denne fil finder du layoutet til databasen; det betyder, at du nemt kan se, hvor man stjæler ting fra.
Bemærk, at databasen indeholder langt mere brugerinformation / kuponsthan, vi tog. Pointen er, at vi havde kontrol over dem; dem alle. Vi overlader resten til dig - stjæl så meget du vil, gå frem!
YDERLIGERE EJENDOM:
## Sony_BMG_Music_Entertaining_NETHERLANDS ## - Denne fil indeholder brugerdatabasen til BMG Holland; den er omkring 600 brugernavne, e-mails og adgangskoder. god fornøjelse.
## Sony_BMG_Music_Entertaining_BELGIUM ## - Denne fil indeholder Sony admin-database over BMG Belgien; også masser af stregkoder, udgivelsesdatoer og andet saftigt lort.
Gruppen var også ansvarlig for adskillige andre nylige sikkerhedsovertrædelser, herunder defacering af Public Broadcasting Service (PBS) websted og Sony Music of Japan. Sony har anerkendt påstandene og siges at undersøge.
Kilde: LulzSecurity.com / @LulzSec
Tror du, du kunne gøre et bedre job med sikkerhed? Vred på Sony for ikke at beskytte dine oplysninger? Vred på hackerne for at stjæle det i første omgang? Luft lidt damp i kommentarerne herunder!