Sony Pictures Online Hacked Ved hjelp av Primitive og Common Sårbarhet, Data Unencrypted [Nyheter]

På torsdag kveld, hacker gruppe “LulzSec” annonsert via Twitter at de hadde fått tilgang til SonyPictures.com og stjålet over 1 million kontoer, passord og sensitiv brukerinformasjon. Kort tid etter at nyheten ble brutt, var kopier av de kompromitterte dataene på overflaten av filharing nettsteder (som MediaFire, hvor den ble fjernet) og BitTorrent-trackers, inkludert The Pirate Bay.

Gruppen forlot en melding på PasteBin som avslører hele omfanget av inntrengningen, som inkluderer tusenvis av e-post og passord kombinasjoner, personlig informasjon (inkludert navn, adresser, fødselsdato og telefonnumre), nesten 3,5 millioner “musikk kuponger” og over 60.000 “musikkoder”. Gruppen annonserte også at Sonys sikkerhet ble overvunnet av et enkelt SQL-injeksjonsangrep.

I en uttalelse sa gruppen: “SonyPictures.com eies av en veldig enkel SQL-injeksjon, en av de mest primitive og vanlige sårbarhetene, som vi alle burde vite nå. Fra en enkelt injeksjon, fikk vi tilgang til alt. Hvorfor legger du slik tro på et selskap som gjør det mulig å bli åpen for disse enkle angrepene?”

Gruppen oppgav også: “Hver bit av dataene vi tok, var ikke kryptert. Sony lagret over 1.000.000 passord fra sine kunder i ren tekst, noe som betyr at det bare handler om å ta det. Dette er skammelig og usikkert: de spurte om det.”

Gruppen har gitt ut mye av de plundrede dataene, men disse inneholder bare en liten mengde av de kompromitterte dataene. Full databaser har også blitt lagt ut på nettet, sammen med et tekstdokument for databaseoppsett for å hjelpe utvinning av data. Databasen inneholder både militære og offentlige e-post- og passordkombinasjoner, og også adminkontoer til Sony Pictures Online.

Følgende utdrag ble tatt fra “FIL INNHOLD.txt” dokument som følger med LulzSecs begrensede utgivelse:

Innholdet i vårt plyndring:
## Sony_Pictures_International_AUTOTRADER_USERS.txt ## - I denne filen finner du rett under 12 500 kunder fra Sony, inkludert fødselsdato, adresser, e-postadresser, fullnavn, passord, bruker-ID og personlige telefonnumre.
## Sony_Pictures_International_BEAUTY_USERS.txt ## - I denne filen finner du bare under 21.000 kunder fra Sony, dette er en enkel e-post / passorddråp. Nyt kontoen din å stjele.
## Sony_Pictures_International_COUPONS.txt ## - I denne filen finner du like under 20.000 Sony musikk kuponger, vær oppmerksom på at det er 3,5 millioner kuponger å ta - få dem.
## Sony_Pictures_International_DELBOCA_USERS.txt ## - I denne filen finner du like under 18.000 kunder fra Sony, dette er en enkel e-post / passord slipp. Igjen, nyt din stjele.
## Sony_Pictures_International_MUSIC_CODES.txt ## - I denne filen finner du like under 67.000 Sony musikkoder, de er som magneter, vi har bare ingen anelse om hvordan de fungerer.
## Sony_Pictures_International_TABLE_LAYOUT.txt ## - I denne filen finner du layoutet til databasen, det betyr at du enkelt kan se hvor du skal stjele ting fra.
Vær oppmerksom på at databasen inneholder langt mer brukerinformasjon / kuponger som vi tok. Poenget er at vi hadde kontroll over dem; alle av dem. Vi lar resten opp til deg - stjele så mye du vil, gå videre!
EKSTRA EIENDOM:
## Sony_BMG_Music_Entertainment_NETHERLANDS ## - Denne filen inneholder brukerdatabasen til BMG Nederland, det er rundt 600 brukernavn, e-post og passord. Nyt.
## Sony_BMG_Music_Entertainment_BELGIUM ## - Denne filen inneholder Sony administrasjonsdatabasen til BMG Belgium, også mange strekkoder, utgivelsesdatoer og andre saftige dritt.

Gruppen var også ansvarlig for flere andre nylige sikkerhetsbrudd, inkludert defacement av PBS (Public Broadcasting Service) og Sony Music of Japan. Sony har anerkjent påstandene og sies å undersøke.

Kilde: LulzSecurity.com / @LulzSec
Tror du kan gjøre en bedre jobb med sikkerhet? Sint på Sony for ikke å beskytte informasjonen din? Sint på hackerne for å stjele det i utgangspunktet? Vent litt damp i kommentarene nedenfor!