Skelbimas

„Sony Pictures Online“ buvo įsilaužta naudojant „primityvų ir įprastą“ pažeidžiamumą, duomenys nešifruoti [naujienos] „sonyhack“Ketvirtadienio vakarą įsilaužėlių grupė „LulzSec“ per „Twitter“ paskelbė, kad gavo prieigą prie SonyPictures.com ir pavogė daugiau nei 1 milijoną paskyrų, slaptažodžių ir slaptos vartotojų informacijos. Netrukus po to, kai pasirodė naujienos, pažeistų duomenų kopijos pasirodė failų bendrinimo svetainėse (pvz., „MediaFire“, kur ji buvo pašalinta) ir „BitTorrent“ sekimo priemonėse, įskaitant „The Pirate Bay“.

Grupė paliko pranešimą PasteBin, atskleidžiantį visą įsibrovimo mastą, apimantį tūkstančius el. pašto ir slaptažodžių derinių, asmeninė informacija (įskaitant vardus, adresus, gimimo datas ir telefonų numerius), beveik 3,5 mln. „muzikos kuponų“ ir daugiau nei 60 000 „muzikos“ kodai“. Grupė taip pat paskelbė, kad „Sony“ saugumą įveikė paprasta SQL injekcijos ataka.

Į teiginysgrupė pasakė: „„SonyPictures.com“ priklausė labai paprastam SQL įpurškimui – vienam primityviausių ir dažniausiai pasitaikančių pažeidžiamumų, kaip jau turėtume žinoti. Iš vienos injekcijos mes pasiekėme VISKAS. Kodėl taip tikite įmone, kuri leidžia sau tapti atvira šiems paprastiems išpuoliams?

instagram viewer
„Sony Pictures Online“ įsilaužė naudojant „primityvų ir įprastą“ pažeidžiamumą, duomenys nešifruoti [Naujienos] tviteryje

Grupė taip pat pareiškė: „Kiekviena mūsų paimta duomenų dalis nebuvo užšifruota. „Sony“ saugojo daugiau nei 1 000 000 savo klientų slaptažodžių paprastu tekstu, o tai reiškia, kad tereikia juos paimti. Tai gėdinga ir nesaugu: jie to prašė.

Grupė paskelbė daugumą pagrobtų duomenų, tačiau juose yra tik nedidelis sugadintų duomenų kiekis. Visos duomenų bazės taip pat buvo paskelbtos internete kartu su duomenų bazės išdėstymo tekstiniu dokumentu, kad būtų lengviau išgauti duomenis. Duomenų bazėje yra karinių ir vyriausybinių el. pašto ir slaptažodžių deriniai, taip pat „Sony Pictures Online“ administratoriaus paskyros.

„Sony Pictures Online“ įsilaužė naudojant „primityvų ir įprastą“ pažeidžiamumą, duomenys nešifruoti [naujienos]

Ši ištrauka buvo paimta iš dokumento „FILE CONTENTS.txt“, kuris pridedamas prie „LulzSec“ riboto leidimo:

Mūsų grobio turinys:
## Sony_Pictures_International_AUTOTRADER_USERS.txt ##– Šiame faile rasite kiek mažiau nei 12 500 Sony klientų; tai apima gimimo datas, adresus, el. pašto adresus, vardus, slaptažodžius, vartotojo ID ir asmeninius telefono numerius.
## Sony_Pictures_International_BEAUTY_USERS.txt ##– Šiame faile rasite kiek mažiau nei 21 000 Sony klientų; tai yra paprastas el. pašto adresas / slaptažodis. Mėgaukitės savo paskyros vagyste.
## Sony_Pictures_International_COUPONS.txt ##– Šiame faile rasite kiek mažiau nei 20 000 Sony muzikos kuponų; atkreipkite dėmesį, kad galima pasiimti 3,5 milijono kuponų – gaukite juos.
## Sony_Pictures_International_DELBOCA_USERS.txt ##– Šiame faile rasite kiek mažiau nei 18 000 Sony klientų; tai yra paprastas el. pašto adresas / slaptažodis. Vėlgi, mėgaukitės vagyste.
## Sony_Pictures_International_MUSIC_CODES.txt ##– Šiame faile rasite kiek mažiau nei 67 000 Sony muzikos kodų; jie tarsi magnetai, mes tiesiog neįsivaizduojame, kaip jie veikia.
## Sony_Pictures_International_TABLE_LAYOUT.txt ##– Šiame faile rasite duomenų bazės išdėstymą; tai reiškia, kad galite lengvai pamatyti, iš kur pavogti daiktus.
Atkreipkite dėmesį, kad duomenų bazėje yra daug daugiau naudotojo informacijos / kuponų, nei mes paėmėme. Esmė ta, kad mes juos kontroliavome; Visi jie. Visa kita paliekame spręsti jums – vogkite kiek norite, pirmyn!
PAPILDOMA NUOSAVYBĖ:
## Sony_BMG_Music_Entertainment_NETHERLANDS ##– Šiame faile yra BMG Netherlands vartotojų duomenų bazė; tai apie 600 vartotojo vardų, el. pašto adresų ir slaptažodžių. Mėgautis.
## Sony_BMG_Music_Entertainment_BELGIUM ##– Šiame faile yra BMG Belgium Sony administratoriaus duomenų bazė; taip pat daug brūkšninių kodų, išleidimo datų ir kitokio sultingo šūdo.

Grupė taip pat buvo atsakinga už kelis kitus naujausius saugumo pažeidimus, įskaitant viešosios transliavimo tarnybos (PBS) svetainės ir Japonijos „Sony Music“ sugadinimą. „Sony“ pripažino pretenzijas ir, kaip teigiama, tiria.

„Sony Pictures Online“ įsilaužė naudojant „primityvų ir įprastą“ pažeidžiamumą, duomenys nešifruoti [naujienos] torrent

Šaltinis: LulzSecurity.com / @LulzSec
Manote, kad galėtumėte atlikti geresnį apsaugos darbą? Pykstate „Sony“, nes neapsaugo jūsų informacijos? Pykstate ant įsilaužėlių, kad jie iš pradžių jį pavogė? Išleiskite šiek tiek garo toliau pateiktuose komentaruose!

Timas yra laisvai samdomas rašytojas, gyvenantis Melburne, Australijoje. Galite sekti jį Twitter.