Sony Pictures Online en ligne piraté à l'aide d'une vulnérabilité «primitive et commune», données non cryptées [Actualités]

Jeudi soir, groupe de hackers “LulzSec” ont annoncé via Twitter qu'ils avaient accédé à SonyPictures.com et volé plus d'un million de comptes, mots de passe et informations utilisateur sensibles. Peu de temps après l'annonce de la nouvelle, des copies des données compromises apparaissaient sur des sites Web de partage de fichiers (tels que MediaFire, où elles avaient été supprimées) et des suivis BitTorrent, y compris The Pirate Bay..

Le groupe a laissé un message sur PasteBin révélant l’ampleur de l’intrusion, qui comprend des milliers de combinaisons d’e-mails et de mots de passe, des informations personnelles (noms, adresses, dates de naissance et numéros de téléphone), près de 3,5 millions. “coupons de musique” et plus de 60 000 “codes de musique”. Le groupe a également annoncé que la sécurité de Sony avait été vaincue par une simple attaque par injection SQL..

Dans un communiqué, le groupe a déclaré: “SonyPictures.com appartenait à une injection SQL très simple, l'une des vulnérabilités les plus primitives et les plus courantes, comme nous devrions tous le savoir maintenant. D'une simple injection, nous avons accédé à TOUT. Pourquoi avez-vous une telle confiance dans une entreprise qui se laisse ouverte à ces attaques simples??”

Le groupe a également déclaré: “Chaque bit de données que nous avons pris n'était pas crypté. Sony a stocké plus de 1 000 000 mots de passe de ses clients en texte clair, ce qui signifie qu’il s’agit simplement de les prendre. C'est honteux et peu sûr: ils le demandaient.”

Le groupe a publié une grande partie des données pillées, même si celles-ci ne contiennent qu'une petite quantité des données compromises. Des bases de données complètes ont également été mises en ligne, ainsi qu'un document texte pour faciliter l'extraction des données. La base de données contient à la fois des adresses de courrier électronique et des mots de passe militaires et gouvernementaux, ainsi que des comptes d'administrateur pour Sony Pictures Online..

L'extrait suivant a été pris de la “CONTENU DU FICHIER.txt” document qui accompagne la version limitée de LulzSec:

Contenu de notre pillage:
## Sony_Pictures_International_AUTOTRADER_USERS.txt ## - Dans ce fichier, vous trouverez un peu moins de 12 500 clients de Sony, y compris les dates de naissance, adresses de courriel, noms complets, mots de passe, identifiants d'utilisateur et numéros de téléphone personnels..
## Sony_Pictures_International_BEAUTY_USERS.txt ## - Dans ce fichier, vous trouverez un peu moins de 21 000 clients de Sony; il s’agit d’un simple numéro de courrier électronique / mot de passe. Profitez de votre vol de compte.
## Sony_Pictures_International_COUPONS.txt ## - Dans ce fichier, vous trouverez un peu moins de 20 000 coupons de musique Sony; veuillez noter qu'il y a 3,5 millions de coupons à prendre..
## Sony_Pictures_International_DELBOCA_USERS.txt ## - Dans ce fichier, vous trouverez un peu moins de 18 000 clients de Sony, il s’agit d’un simple numéro de courrier électronique / mot de passe. Encore une fois, profitez de votre vol.
## Sony_Pictures_International_MUSIC_CODES.txt ## - Dans ce fichier, vous trouverez un peu moins de 67 000 codes musicaux Sony: ce sont des aimants, nous n'avons simplement aucune idée de leur fonctionnement..
## Sony_Pictures_International_TABLE_LAYOUT.txt ## - Dans ce fichier, vous trouverez la structure de la base de données, ce qui signifie que vous pouvez facilement voir où voler des objets..
Notez que la base de données contient beaucoup plus d’informations sur les utilisateurs / coupons que celles que nous avons prises. Le fait est que nous en avions le contrôle; Nous vous laissons le reste - volez autant que vous voulez, partez!
PROPRIÉTÉ SUPPLÉMENTAIRE:
## Sony_BMG_Music_Entertainment_NETHERLANDS ## - Ce fichier contient la base de données des utilisateurs de BMG Netherlands, soit environ 600 noms d'utilisateur, adresses e-mail et mots de passe. Prendre plaisir.
## Sony_BMG_Music_Entertainment_BELGIUM ## - Ce fichier contient la base de données d'administration Sony de BMG Belgium, ainsi que de nombreux codes à barres, dates de sortie et autres histoires juteuses..

Le groupe était également responsable de plusieurs autres atteintes récentes à la sécurité, notamment la dégradation du site Web PBS (Public Broadcasting Service) et de Sony Music of Japan. Sony a reconnu ces accusations et aurait ouvert une enquête..

Source: LulzSecurity.com / @LulzSec
Pensez-vous pouvoir faire un meilleur travail de sécurité? En colère contre Sony pour ne pas protéger vos informations? En colère contre les pirates pour l'avoir volé? Ventiler un peu de vapeur dans les commentaires ci-dessous!