Joseph Goodman
0 
1472
220
W czwartkowy wieczór grupa hakerów “LulzSec” ogłosili na Twitterze, że uzyskali dostęp do SonyPictures.com i ukradli ponad milion kont, haseł i poufnych informacji o użytkownikach. Krótko po tym, jak pojawiły się wiadomości, kopie zainfekowanych danych pojawiały się na stronach wymiany plików (takich jak MediaFire, gdzie zostały usunięte) i trackerach BitTorrent, w tym The Pirate Bay.
Grupa pozostawiła wiadomość na PasteBin ujawniającą pełny zakres włamań, w tym tysiące kombinacji e-maili i haseł, dane osobowe (w tym nazwiska, adresy, daty urodzenia i numery telefonów), prawie 3,5 miliona “kupony muzyczne” i ponad 60 000 “kody muzyczne”. Grupa ogłosiła również, że bezpieczeństwo Sony zostało przełamane przez prosty atak iniekcyjny SQL.
W oświadczeniu grupa powiedziała: “SonyPictures.com było własnością bardzo prostego zastrzyku SQL, jednej z najbardziej prymitywnych i powszechnych luk w zabezpieczeniach, o czym wszyscy powinniśmy już wiedzieć. Z jednego zastrzyku uzyskaliśmy dostęp do WSZYSTKO. Dlaczego pokładasz taką wiarę w firmie, która pozwala się otworzyć na te proste ataki?”
Grupa stwierdziła również: “Każda część pobranych przez nas danych nie była zaszyfrowana. Sony przechowało ponad 1 000 000 haseł swoich klientów w postaci zwykłego tekstu, co oznacza, że wystarczy wziąć je. To jest haniebne i niepewne: prosili o to.”
Grupa opublikowała wiele zrabowanych danych, chociaż zawierają one tylko niewielką ilość zaatakowanych danych. Pełne bazy danych zostały również opublikowane online, wraz z dokumentem tekstowym układu bazy danych, aby pomóc w wydobyciu danych. Baza danych zawiera wojskowe i rządowe kombinacje adresów e-mail i haseł, a także konta administracyjne do Sony Pictures Online.
Poniższy fragment został zaczerpnięty z “PLIK ZAWARTOŚĆ.txt” dokument towarzyszący ograniczonej wersji LulzSec:
Zawartość naszej grabieży:
## Sony_Pictures_International_AUTOTRADER_USERS.txt ## - W tym pliku znajdziesz nieco mniej niż 12 500 klientów Sony; obejmuje to daty urodzenia, adresy, e-maile, imiona i nazwiska, hasła, identyfikatory użytkowników i osobiste numery telefonów.
## Sony_Pictures_International_BEAUTY_USERS.txt ## - W tym pliku znajdziesz nieco mniej niż 21 000 klientów Sony; jest to zwykłe usunięcie adresu e-mail / hasła. Ciesz się kradzieżą swojego konta.
## Sony_Pictures_International_COUPONS.txt ## - W tym pliku znajdziesz prawie 20 000 kuponów muzycznych Sony; pamiętaj, że do odebrania jest 3,5 miliona kuponów.
## Sony_Pictures_International_DELBOCA_USERS.txt ## - W tym pliku znajduje się nieco mniej niż 18 000 klientów Sony; jest to proste usunięcie adresu e-mail / hasła. Ponownie, ciesz się kradzieżą.
## Sony_Pictures_International_MUSIC_CODES.txt ## - W tym pliku znajdziesz prawie 67 000 kodów muzycznych Sony; są jak magnesy, po prostu nie mamy pojęcia, jak działają.
## Sony_Pictures_International_TABLE_LAYOUT.txt ## - W tym pliku znajdziesz układ bazy danych, co oznacza, że możesz łatwo zobaczyć, skąd ukraść rzeczy.
Pamiętaj, że baza danych zawiera znacznie więcej informacji o użytkownikach / kuponach, które wzięliśmy. Chodzi o to, że mieliśmy nad nimi kontrolę; wszystkie pozostawiamy tobie - kradnij tyle, ile chcesz, idź naprzód!
DODATKOWE WŁASNOŚCI:
## Sony_BMG_Music_Entertainment_NETHERLANDS ## - Ten plik zawiera bazę danych użytkowników BMG Netherlands; zawiera około 600 nazw użytkowników, e-maili i haseł. Cieszyć się.
## Sony_BMG_Music_Entertainment_BELGIUM ## - Ten plik zawiera administracyjną bazę danych Sony BMG Belgium; także wiele kodów kreskowych, daty wydania i inne soczyste gówno.
Grupa była również odpowiedzialna za kilka innych niedawnych naruszeń bezpieczeństwa, w tym usunięcie witryny internetowej Public Broadcasting Service (PBS) i Sony Music of Japan. Sony potwierdziło roszczenia i mówi się, że prowadzi dochodzenie.
Źródło: LulzSecurity.com / @LulzSec
Myślisz, że możesz zrobić lepszą robotę bezpieczeństwa? Gniewasz się na Sony za brak ochrony twoich informacji? Wściekły na hakerów za kradzież? Odpowietrz parę w komentarzach poniżej!