Sony hacket igen: Én million passwords er stjålet

7 kommentarer.  Hop til debatten
Et nyt Sony-angreb, denne gang på filmselskabet Sony Pictures, har ramt en million brugere af websiden. Hackerne påstår, at der kun skulle en simpel SQL-injektion til at få adgang.
3. juni 2011 kl. 12:14
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Netop som der var ved at være styr på situationen med Sony Playstation Network, der har været lukket i en måned efter et hackerangreb, bliver Sony-koncernen ramt igen.

Et nyt angreb mod en helt anden del af Sony, nemlig filmselskabet Sony Pictures, har ramt over én million brugere af websiden. Alle oplysninger, inklusive passwords, var tilgængelige for hackerne, som har offentliggjort data fra 50.000 brugere. Det skriver Threat Level-bloggen hos magasinet Wired.

Hackergruppen Lulzsec har taget ansvaret for angrebet og har samtidigt oplyst, at sikkerheden på Sonypictures.com var meget ringe.

Det krævede således bare en simpel SQL-injektion, altså lidt ekstra kode skrevet ind i webadressen, at få adgang til databasen med alle brugeroplysningerne. De fortrolige oplysninger om brugerne, for eksempel passwords, lå i klartekst og var ikke krypteret, oplyser Lulzsec.

7 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
1
4. juni 2011 kl. 09:56

SQL injection? Sig mig, lever Sony i middelalderen? Det er virkelig et af de allersimpleste angreb i hele verden at gardere sig imod. De fleste relevante standard-libraries har sågar indbygget funktionalitet til at forhindre det. Hvis man lige husker at bruge det. Og cleartext passwords?

Væse sprutteDyb indånding

Håber det viser sig at hackergruppen har løjet. Men nej, det er sjovt nok ikke dén eventualitet der registrerer sig med "højst sandsynlighed" i mine tanker.

2
6. juni 2011 kl. 00:29

Ja det er ganske enkelt for dårligt. Specielt i lyset af at de har haft denne PS3 network sag, og så ikke får lavet en sikkerhedsaudit på samtlige deres systemer. Det stinker helt vildt!

3
6. juni 2011 kl. 13:28

Altså, nu består Sony's netværk nok ikke af 2-3 servere med et par websites og et par access databaser på hver. En "sikkerhedsaudit på samtlige deres systemer" er helt sikkert ikke den simple og hurtigt overståede operation du her lægger op til at det skulle være.

5
6. juni 2011 kl. 14:26

Det er ikke samtlige systemer, kun dem der er tilgængelige udefra. Hvor mange servere der servicere requestene siger da heller ikke nødvendigvis noget om hvor stort et arbejde en sikkerhedsaudit vil være. En audit kan muligvis foretages ud fra deres arkitektur beskrivelse? Ligesom passwords i clear-text nok er noget man kan undersøge rimelig let. Dette kunne man jo så starte med at, specielt set i lyset af at dette var problemet i PS3 Network sagen.

6
6. juni 2011 kl. 16:00

Om sikkerhedsaudits: sandheden ligger nok lidt i mellem. Hvis Sony er ligesom et typisk firma kan det godt ske at de får lavet deres websites ude i byen, og til laveste bud. En ting er så hvad det gør for kvaliteten (det er ikke nødvendigvis dårligt), men det betyder også at Sony måske ikke har nogen som helst in-house viden om deres løsninger. Jeg kunne også godt, ud fra erfaring, frygte at dokumentation er et lav prioritets område.

Jeg har også set eksempler hvor selve hovedsitet er én løsning på platform X og diverse kampagne sites kan så være lavet på platform Z, Y, ... (lige her burde det dog være åbenlyst at de ikke skal dele DB permissions ;)

Alt andet lige gør det audits til en noget mere tidskrævende affære, og jeg tror Sony har rigtigt mange eksterne systemer. Der skal også afsættes tid til at rette problemerne.

Det er ikke for at undskylde Sony overhovedet - jeg har ikke på fornemmelsen at de rigtigt interesserer sig for deres kunder.

7
6. juni 2011 kl. 16:17

Det er ikke for at undskylde Sony overhovedet - jeg har ikke på fornemmelsen at de rigtigt interesserer sig for deres kunder.

Nej det lader ikke til det.

Man må da håbe de nu går igang med at undersøge hvor mange steder de benytter sig af meget lempelig opbevaring af kundeoplysninger, herunder passwords.

Har Sony lavet nogle officielle forklaringer? Eller er vi ude i TEPCO lignende tilstande?

4
6. juni 2011 kl. 13:46

Altså, nu består Sony's netværk nok ikke af 2-3 servere med et par websites og et par access databaser på hver.

At de har et kompliceret setup (eller snarere: mange komplicerede setups) er vel ikke nogen undskyldning, snarere en tilskyndelse. Plus det at mediefokus på den første brist gerne lokker flere interesserede til => det burde være yderligere tilskyndelse.

Hver forretningsenhed kan vel desuden gå i gang hver for sig.