Sony Pictures Online hackeado usando una vulnerabilidad “primitiva y común”, datos sin cifrar [Noticias]
El jueves por la noche, grupo hacker. “LulzSec” anunció a través de Twitter que obtuvieron acceso a SonyPictures.com y que robaron más de 1 millón de cuentas, contraseñas e información confidencial del usuario. Poco después de la noticia, surgieron copias de los datos comprometidos en sitios web para compartir archivos (como MediaFire, donde se eliminaron) y rastreadores de BitTorrent, incluido The Pirate Bay..
El grupo dejó un mensaje en PasteBin que revela la extensión total de la intrusión, que incluye miles de combinaciones de correo electrónico y contraseña, información personal (incluidos nombres, direcciones, fechas de nacimiento y números de teléfono), casi 3.5 millones “cupones de música” y mas de 60,000 “códigos de música”. El grupo también anunció que la seguridad de Sony fue superada por un simple ataque de inyección SQL..
En un comunicado, el grupo dijo: “SonyPictures.com era propiedad de una inyección SQL muy simple, una de las vulnerabilidades más primitivas y comunes, como todos deberíamos saber. Desde una sola inyección, accedimos TODO. ¿Por qué pone tanta fe en una empresa que se permite abrirse a estos simples ataques??”
El grupo también declaró: “Todos los datos que tomamos no estaban encriptados. Sony almacenó más de 1,000,000 contraseñas de sus clientes en texto plano, lo que significa que solo es cuestión de tomarlas. Esto es vergonzoso e inseguro: lo pedían..”
El grupo ha publicado gran parte de los datos saqueados, aunque estos solo contienen una pequeña cantidad de datos comprometidos. Las bases de datos completas también se han publicado en línea, junto con un documento de texto de diseño de la base de datos para ayudar a la extracción de datos. La base de datos contiene combinaciones de correo electrónico y contraseña militares y gubernamentales, y también cuentas de administrador a Sony Pictures Online.
El siguiente extracto fue tomado de la “ARCHIVO CONTENTS.txt” Documento que acompaña al lanzamiento limitado de LulzSec:
Contenido de nuestro saqueo:
## Sony_Pictures_International_AUTOTRADER_USERS.txt ##: en este archivo encontrará menos de 12,500 clientes de Sony, que incluyen fechas de nacimiento, direcciones, correos electrónicos, nombres completos, contraseñas, ID de usuarios y números de teléfono personales..
## Sony_Pictures_International_BEAUTY_USERS.txt ##: en este archivo encontrará poco menos de 21,000 clientes de Sony; esta es una simple eliminación de correo electrónico / contraseña. Disfruta de tu cuenta robando.
## Sony_Pictures_International_COUPONS.txt ## - En este archivo encontrará un poco menos de 20,000 cupones de música de Sony; tenga en cuenta que hay 3.5 millones de cupones para llevar: llévelos.
## Sony_Pictures_International_DELBOCA_USERS.txt ##: en este archivo encontrará poco menos de 18,000 clientes de Sony, esto es un simple correo electrónico / contraseña. De nuevo, disfruta de tu robo.
## Sony_Pictures_International_MUSIC_CODES.txt ## - En este archivo encontrará casi 67,000 códigos de música de Sony; son como imanes, simplemente no tenemos idea de cómo funcionan.
## Sony_Pictures_International_TABLE_LAYOUT.txt ## - En este archivo encontrará el diseño de la base de datos, lo que significa que puede ver fácilmente dónde robar cosas.
Tenga en cuenta que la base de datos contiene mucha más información de usuario / cupones que tomamos. El punto es que teníamos control de ellos; a todos. Dejamos el resto a usted: robamos todo lo que quiera, salgan!
PROPIEDAD ADICIONAL:
## Sony_BMG_Music_Entertainment_NETHERLANDS ##: este archivo contiene la base de datos de usuarios de BMG Países Bajos, contiene alrededor de 600 nombres de usuario, correos electrónicos y contraseñas. Disfrutar.
## Sony_BMG_Music_Entertainment_BELGIUM ##: este archivo contiene la base de datos de administración de Sony de BMG Bélgica, además de muchos códigos de barras, fechas de lanzamiento y otras cosas interesantes..
El grupo también fue responsable de varias otras infracciones de seguridad recientes, incluida la desfiguración del sitio web de Public Broadcasting Service (PBS) y Sony Music of Japan. Sony ha reconocido los reclamos y se dice que está investigando.
Fuente: LulzSecurity.com / @LulzSec
¿Crees que podrías hacer un mejor trabajo de seguridad? ¿Enojado con Sony por no proteger su información? ¿Enojado con los hackers por robarlo en primer lugar? Ventilar un poco de vapor en los comentarios a continuación!