Sony hacket igen: Én million passwords er stjålet

3. juni 2011 kl. 12:147
Et nyt Sony-angreb, denne gang på filmselskabet Sony Pictures, har ramt en million brugere af websiden. Hackerne påstår, at der kun skulle en simpel SQL-injektion til at få adgang.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Netop som der var ved at være styr på situationen med Sony Playstation Network, der har været lukket i en måned efter et hackerangreb, bliver Sony-koncernen ramt igen.

Et nyt angreb mod en helt anden del af Sony, nemlig filmselskabet Sony Pictures, har ramt over én million brugere af websiden. Alle oplysninger, inklusive passwords, var tilgængelige for hackerne, som har offentliggjort data fra 50.000 brugere. Det skriver Threat Level-bloggen hos magasinet Wired.

Artiklen fortsætter efter annoncen

Hackergruppen Lulzsec har taget ansvaret for angrebet og har samtidigt oplyst, at sikkerheden på Sonypictures.com var meget ringe.

Det krævede således bare en simpel SQL-injektion, altså lidt ekstra kode skrevet ind i webadressen, at få adgang til databasen med alle brugeroplysningerne. De fortrolige oplysninger om brugerne, for eksempel passwords, lå i klartekst og var ikke krypteret, oplyser Lulzsec.

7 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
Palle Raabjerg
4. juni 2011 kl. 09:56

SQL injection? Sig mig, lever Sony i middelalderen? Det er virkelig et af de allersimpleste angreb i hele verden at gardere sig imod. De fleste relevante standard-libraries har sågar indbygget funktionalitet til at forhindre det. Hvis man lige husker at bruge det. Og cleartext passwords?

Væse sprutteDyb indånding

Håber det viser sig at hackergruppen har løjet. Men nej, det er sjovt nok ikke dén eventualitet der registrerer sig med "højst sandsynlighed" i mine tanker.

  • more_vert
    • insert_linkKopier link
2
Nikolaj Brinch Jørgensen
6. juni 2011 kl. 00:29

Ja det er ganske enkelt for dårligt. Specielt i lyset af at de har haft denne PS3 network sag, og så ikke får lavet en sikkerhedsaudit på samtlige deres systemer. Det stinker helt vildt!

  • more_vert
    • insert_linkKopier link
3
Dennis Rilorin
6. juni 2011 kl. 13:28

Altså, nu består Sony's netværk nok ikke af 2-3 servere med et par websites og et par access databaser på hver. En "sikkerhedsaudit på samtlige deres systemer" er helt sikkert ikke den simple og hurtigt overståede operation du her lægger op til at det skulle være.

  • more_vert
    • insert_linkKopier link
5
Nikolaj Brinch Jørgensen
6. juni 2011 kl. 14:26

Det er ikke samtlige systemer, kun dem der er tilgængelige udefra. Hvor mange servere der servicere requestene siger da heller ikke nødvendigvis noget om hvor stort et arbejde en sikkerhedsaudit vil være. En audit kan muligvis foretages ud fra deres arkitektur beskrivelse? Ligesom passwords i clear-text nok er noget man kan undersøge rimelig let. Dette kunne man jo så starte med at, specielt set i lyset af at dette var problemet i PS3 Network sagen.

  • more_vert
    • insert_linkKopier link
6
Jan Wiberg
6. juni 2011 kl. 16:00

Om sikkerhedsaudits: sandheden ligger nok lidt i mellem. Hvis Sony er ligesom et typisk firma kan det godt ske at de får lavet deres websites ude i byen, og til laveste bud. En ting er så hvad det gør for kvaliteten (det er ikke nødvendigvis dårligt), men det betyder også at Sony måske ikke har nogen som helst in-house viden om deres løsninger. Jeg kunne også godt, ud fra erfaring, frygte at dokumentation er et lav prioritets område.

Jeg har også set eksempler hvor selve hovedsitet er én løsning på platform X og diverse kampagne sites kan så være lavet på platform Z, Y, ... (lige her burde det dog være åbenlyst at de ikke skal dele DB permissions ;)

Alt andet lige gør det audits til en noget mere tidskrævende affære, og jeg tror Sony har rigtigt mange eksterne systemer. Der skal også afsættes tid til at rette problemerne.

Det er ikke for at undskylde Sony overhovedet - jeg har ikke på fornemmelsen at de rigtigt interesserer sig for deres kunder.

  • more_vert
    • insert_linkKopier link
7
Nikolaj Brinch Jørgensen
6. juni 2011 kl. 16:17

Det er ikke for at undskylde Sony overhovedet - jeg har ikke på fornemmelsen at de rigtigt interesserer sig for deres kunder.

Nej det lader ikke til det.

Man må da håbe de nu går igang med at undersøge hvor mange steder de benytter sig af meget lempelig opbevaring af kundeoplysninger, herunder passwords.

Har Sony lavet nogle officielle forklaringer? Eller er vi ude i TEPCO lignende tilstande?

  • more_vert
    • insert_linkKopier link
4
Jesper S. Møller
6. juni 2011 kl. 13:46

Altså, nu består Sony's netværk nok ikke af 2-3 servere med et par websites og et par access databaser på hver.

At de har et kompliceret setup (eller snarere: mange komplicerede setups) er vel ikke nogen undskyldning, snarere en tilskyndelse. Plus det at mediefokus på den første brist gerne lokker flere interesserede til => det burde være yderligere tilskyndelse.

Hver forretningsenhed kan vel desuden gå i gang hver for sig.

  • more_vert
    • insert_linkKopier link