Sony Pictures Online Hacked using Primitive and Common Vulnerability, Data Unencrypted [Nieuws]
Op donderdagavond, hackergroep “LulzSec” aangekondigd via Twitter dat ze toegang hadden gekregen tot SonyPictures.com en meer dan 1 miljoen accounts, wachtwoorden en gevoelige gebruikersinformatie hadden gestolen. Kort nadat het nieuws brak, kwamen exemplaren van de besmette gegevens naar filesharingwebsites (zoals MediaFire, waar het werd verwijderd) en BitTorrent-trackers, waaronder The Pirate Bay.
De groep liet een bericht achter op PasteBin en onthulde de volledige omvang van de inbreuk, waaronder duizenden e-mail- en wachtwoordcombinaties, persoonlijke informatie (inclusief namen, adressen, geboortedata en telefoonnummers), bijna 3,5 miljoen “muziek coupons” en meer dan 60.000 “muziek codes”. De groep kondigde ook aan dat de beveiliging van Sony werd overwonnen door een eenvoudige SQL-injectieaanval.
In een verklaring zei de groep: “SonyPictures.com was het eigendom van een zeer eenvoudige SQL-injectie, een van de meest primitieve en veel voorkomende kwetsbaarheden, zoals we allemaal nu al zouden moeten weten. Van een enkele injectie hebben we ALLES benaderd. Waarom zet je zoveel vertrouwen in een bedrijf dat zich openstelt voor deze simpele aanvallen??”
De groep verklaarde ook: “Alle gegevens die we namen, waren niet versleuteld. Sony bewaarde meer dan 1.000.000 wachtwoorden van zijn klanten in platte tekst, wat betekent dat het gewoon een kwestie van nemen is. Dit is schandalig en onzeker: ze vroegen erom.”
De groep heeft veel van de geplunderde gegevens vrijgegeven, hoewel deze slechts een klein deel van de besmette gegevens bevatten. Volledige databases zijn ook online geplaatst, samen met een tekstdocument in de lay-out van de database om het extraheren van gegevens te vergemakkelijken. De database bevat zowel militaire als overheids-e-mail- en wachtwoordcombinaties, en ook beheerdersaccounts voor Sony Pictures Online.
Het volgende fragment is overgenomen van de “BESTAND INHOUD.txt” document dat bij de beperkte release van LulzSec hoort:
Inhoud van onze plundering:
## Sony_Pictures_International_AUTOTRADER_USERS.txt ## - In dit bestand vindt u iets minder dan 12.500 klanten van Sony, inclusief geboortedata, adressen, e-mails, volledige namen, wachtwoorden, gebruikers-ID's en persoonlijke telefoonnummers.
## Sony_Pictures_International_BEAUTY_USERS.txt ## - In dit bestand vindt u iets minder dan 21.000 klanten van Sony, dit is een eenvoudige e-mail / wachtwoordvermindering. Geniet van stelen van je account.
## Sony_Pictures_International_COUPONS.txt ## - In dit bestand vindt u iets minder dan 20.000 muziekcoupons van Sony, houd er rekening mee dat er 3,5 miljoen kortingsbonnen zijn - haal ze in.
## Sony_Pictures_International_DELBOCA_USERS.txt ## - In dit bestand vindt u iets minder dan 18.000 klanten van Sony, dit is een eenvoudige e-mail / wachtwoordvermindering. Nogmaals, geniet van je stelen.
## Sony_Pictures_International_MUSIC_CODES.txt ## - In dit bestand vind je iets minder dan 67.000 Sony muziekcodes, ze zijn als magneten, we hebben gewoon geen idee hoe ze werken.
## Sony_Pictures_International_TABLE_LAYOUT.txt ## - In dit bestand vind je de lay-out van de database, wat betekent dat je gemakkelijk kunt zien waar dingen van te stelen zijn.
Merk op dat de database veel meer gebruikersinformatie / couponsthan bevat die we hebben gemaakt. Het punt is dat we controle over hen hadden; allemaal. We laten de rest aan jou over - stelen zoveel als je wilt, ga weer weg!
EXTRA EIGENSCHAP:
## Sony_BMG_Music_Entertainment_NETHERLANDS ## - Dit bestand bevat de gebruikersdatabase van BMG Nederland: het is ongeveer 600 gebruikersnamen, e-mails en wachtwoorden. Genieten.
## Sony_BMG_Music_Entertainment_BELGIUM ## - Dit bestand bevat de Sony-beheerdersdatabase van BMG Belgium, ook veel barcodes, releasedatums en andere sappige shit.
De groep was ook verantwoordelijk voor diverse andere recente inbreuken op de beveiliging, waaronder de defacement van de Public Broadcasting Service (PBS) -website en Sony Music of Japan. Sony heeft de claims erkend en zou onderzoeken.
Bron: LulzSecurity.com / @LulzSec
Denkt u dat u de beveiliging beter zou kunnen uitvoeren? Ben je boos dat Sony je informatie niet beschermt? Boos met de hackers voor het stelen van het in de eerste plaats? Maak wat stoom in de onderstaande opmerkingen!