Sony Pictures Online-Sicherheitslücke mit primitiver und allgemeiner Sicherheitsanfälligkeit, Daten unverschlüsselt [News]

Am Donnerstagabend Hacker-Gruppe “LulzSec” Über Twitter wurde bekannt gegeben, dass sie Zugang zu SonyPictures.com erhalten und über 1 Million Konten, Passwörter und vertrauliche Benutzerinformationen gestohlen haben. Kurz nachdem die Nachrichten erschienen waren, tauchten Kopien der gefährdeten Daten auf Filesharing-Websites (wie etwa MediaFire, wo sie entfernt wurden) und BitTorrent-Trackern, einschließlich The Pirate Bay, auf.

Die Gruppe hinterließ auf PasteBin eine Nachricht, die das gesamte Ausmaß des Angriffs enthüllte. Dazu gehören Tausende von E-Mail- und Kennwortkombinationen sowie persönliche Informationen (einschließlich Namen, Adressen, Geburtsdaten und Telefonnummern), fast 3,5 Millionen “Musik-Coupons” und über 60.000 “Musikcodes”. Die Gruppe gab auch bekannt, dass Sonys Sicherheit durch einen einfachen SQL-Injection-Angriff überwunden wurde.

In einer Erklärung sagte die Gruppe: “SonyPictures.com gehörte einer sehr einfachen SQL-Injektion, einer der primitivsten und häufigsten Schwachstellen, die wir alle kennen sollten. Mit einer einzigen Injektion haben wir auf ALLES zugegriffen. Warum vertrauen Sie einem Unternehmen, das sich diesen einfachen Angriffen öffnen lässt, so sehr??”

Die Gruppe erklärte auch: “Alle Daten, die wir aufgenommen haben, wurden nicht verschlüsselt. Sony hat über 1.000.000 Passwörter seiner Kunden im Klartext gespeichert, was bedeutet, dass es nur eine Frage der Annahme ist. Das ist eine Schande und unsicher: Sie haben darum gebeten.”

Die Gruppe hat einen Großteil der geplünderten Daten veröffentlicht, obwohl diese nur eine kleine Menge der gefährdeten Daten enthalten. Es wurden auch vollständige Datenbanken online gestellt sowie ein Textdokument für das Datenbanklayout, um die Datenextraktion zu erleichtern. Die Datenbank enthält sowohl E-Mail- und Kennwortkombinationen von Militär und Regierung als auch Administratorkonten bei Sony Pictures Online.

Der folgende Auszug wurde dem entnommen “FILE CONTENTS.txt” Dokument, das der limitierten Veröffentlichung von LulzSec beiliegt:

Inhalte unserer Plünderung:
## Sony_Pictures_International_AUTOTRADER_USERS.txt ## - In dieser Datei finden Sie knapp 12.500 Kunden von Sony, darunter Geburtsdaten, Adressen, E-Mails, vollständige Namen, Passwörter, Benutzer-IDs und persönliche Telefonnummern.
## Sony_Pictures_International_BEAUTY_USERS.txt ## - In dieser Datei finden Sie knapp 21.000 Kunden von Sony, dies ist ein einfacher E-Mail- / Passwort-Drop. Viel Spaß beim Stehlen.
## Sony_Pictures_International_COUPONS.txt ## - In dieser Datei finden Sie knapp 20.000 Sony-Musikcoupons, bitte beachten Sie, dass Sie 3,5 Millionen Coupons mitnehmen müssen.
## Sony_Pictures_International_DELBOCA_USERS.txt ## - In dieser Datei finden Sie knapp 18.000 Kunden von Sony, dies ist ein einfacher E-Mail- / Passwort-Drop. Nochmals viel Spaß beim Stehlen.
## Sony_Pictures_International_MUSIC_CODES.txt ## - In dieser Datei finden Sie knapp 67.000 Sony-Musikcodes. Sie sind wie Magnete, wir haben einfach keine Ahnung, wie sie funktionieren.
## Sony_Pictures_International_TABLE_LAYOUT.txt ## - In dieser Datei finden Sie das Layout der Datenbank, dh Sie können leicht erkennen, wo Sie Dinge stehlen können.
Beachten Sie, dass die Datenbank weitaus mehr Benutzerinformationen / Coupons enthält als wir genommen haben. Der Punkt ist, dass wir die Kontrolle über sie hatten; alle von ihnen. Den Rest überlassen wir Ihnen - stehlen Sie so viel Sie wollen, gehen Sie weiter!
ZUSÄTZLICHES EIGENTUM:
## Sony_BMG_Music_Entertainment_NETHERLANDS ## - Diese Datei enthält die Benutzerdatenbank von BMG Netherlands mit ca. 600 Benutzernamen, E-Mails und Passwörtern. Genießen.
## Sony_BMG_Music_Entertainment_BELGIUM ## - Diese Datei enthält die Sony-Admin-Datenbank von BMG Belgium sowie viele Barcodes, Veröffentlichungsdaten und andere saftige Scheiße.

Die Gruppe war auch für mehrere andere Sicherheitsverletzungen der letzten Zeit verantwortlich, darunter die Verunstaltung der Website des Public Broadcasting Service (PBS) und von Sony Music of Japan. Sony hat die Behauptungen anerkannt und soll Nachforschungen anstellen.

Quelle: LulzSecurity.com / @LulzSec
Denken Sie, Sie könnten die Sicherheit verbessern? Wütend auf Sony, weil er Ihre Informationen nicht schützt? Wütend auf die Hacker, weil sie es überhaupt erst gestohlen haben? In den Kommentaren unten etwas Dampf ablassen!