Hace una semana dije que Sony no podía frenar los ataques en su contra y que eso estaba logrando dos problemas mas graves que los directos que eran, la pérdida de confianza de sus consumidores y la pérdida de su mundo ideal interconectado para generar ingresos... apenas una semana después y cuando ya hablaban de volver a la normalidad aparece LulSec y libera un torrent mostrando los problemas ENORMES de Sony:
personal information, including passwords, email addresses, home addresses, dates of birth, and all Sony opt-in data associated with their accounts. Among other things, we also compromised all admin details of Sony Pictures (including passwords) along with 75,000 "music codes" and 3.5 million "music coupons".
Due to a lack of resource on our part (The Lulz Boat needs additional funding!) we were unable to fully copy all of this information, however we have samples for you in our files to prove its authenticity. In theory we could have taken every last bit of information, but it would have taken several more weeks.
Our goal here is not to come across as master hackers, hence what we're about to reveal: SonyPictures.com was owned by a very simple SQL injection, one of the most primitive and common vulnerabilities, as we should all know by now. From a single injection, we accessed EVERYTHING. Why do you put such faith in a company that allows itself to become open to these simple attacks?
What's worse is that every bit of data we took wasn't encrypted. Sony stored over 1,000,000 passwords of its customers in plaintext, which means it's just a matter of taking it. This is disgraceful and insecure: they were asking for it.
This is an embarrassment to Sony; the SQLi link is provided in our file contents, and we invite anyone with the balls to check for themselves that what we say is true. You may even want to plunder those 3.5 million coupons while you can.
Included in our collection are databases from Sony BMG Belgium & Netherlands. These also contain varied assortments of Sony user and staffer information.
Follow our sexy asses on twitter to hear about our upcoming website. Ciao! ^_^
Y perdón por no haberlo traducido pero ¿alguien tiene idea de lo que significa esto? ¿alguien entiende lo que es para no Sony no poder frenar esto? Ya es inexplicable la idea de que "bueno, quizas descubrieron los huecos y los están explotando" ahora es literalmente "entraron, hicieron lo que quisieron y ahora van a destruir tu reputación online día a día" y junto a esto.. la idea de que porque estás poniendo tus datos en un server de una empresas grande estos están seguros.
Ah, no puse el link al Torrent pero todos lo van a encontrar :S
Preguntas de ignorante:
1. ¿alguien sabe si Sony tiene dentro de su staff de programadores expertos en seguridad de datos y resguardo de la identidad?
2. ¿Sony no debería tener el mismo nivel de seguridad informática que el home banking del Wells Fargo, Citibank o cualquier entidad bancaria seria?
3. ¿Era necesario que SonyPictures.com tuviese el certificado de Mcafee o Trustee o Verisign como sí tienen muchos otros sitios transaccionales?
Saludos y gracias a quien responda.
Esto claramente fue la frutilla del postre, sinceramente no me entra en la cabeza todavía. Como semejante empresa tiene una vulnerabilidad tan básica, cuan mal tiene que hacerse las cosas para que esto termine como termino? Si ya les era difícil recuperarse de los otros ataques esto les hizo un agujero gigantesco que dudo que desaparezca, esperaría ver una lluvia de demandas la verdad.
En serio que la noticia me dejo indignadisimo sobre todo con la ultima linea del post, el tamaño de la empresa no es proporcional a su seguridad!
Una inyección SQL? En serio? Sony?
Y las contraseñas en texto plano?? WTTFFFFF!
Que vergüenza :-S
Aqui tengo una simple solucion de seguridad para Sony: mysql_real_escape_string
De nada! ;)