Reklāma
![Sony Pictures tiešsaistē uzlauzts, izmantojot " primitīvu un izplatītu" ievainojamību, nešifrētus datus [Ziņas] sonyhack](/f/08d78705a4b4f53f912044a675193b4e.jpg)
Ceturtdienas vakarā hakeru grupa “LulzSec” ar Twitter starpniecību paziņoja, ka ir ieguvusi piekļuvi vietnei SonyPictures.com un nozagusi vairāk nekā 1 miljonu kontu, paroļu un sensitīvu lietotāju informāciju. Neilgi pēc ziņu izplatīšanās apdraudēto datu kopijas parādījās failu koplietošanas vietnēs (piemēram, MediaFire, kur tie tika noņemti) un BitTorrent izsekotājos, tostarp The Pirate Bay.
Grupa atstāja ziņojumu vietnē PasteBin, atklājot pilnu ielaušanās apjomu, kas ietver tūkstošiem e-pasta un paroļu kombināciju, personas informācija (tostarp vārdi, adreses, dzimšanas datumi un tālruņu numuri), gandrīz 3,5 miljoni "mūzikas kuponu" un vairāk nekā 60 000 "mūzikas" kodi”. Grupa arī paziņoja, ka Sony drošību pārvarēja vienkāršs SQL injekcijas uzbrukums.
In paziņojums, grupa teica: "Vietnei SonyPictures.com piederēja ļoti vienkārša SQL ievadīšana, kas ir viena no primitīvākajām un visizplatītākajām ievainojamībām, kā mums visiem jau tagad būtu jāzina. No vienas injekcijas mēs piekļuvām VISAM. Kāpēc jūs tik ļoti ticat uzņēmumam, kas ļauj sev kļūt atvērts šiem vienkāršajiem uzbrukumiem?”
![Sony Pictures tiešsaistē uzlauzts, izmantojot " primitīvu un izplatītu" ievainojamību, dati nav šifrēti [Ziņas] tvīts](/f/58c411628fb1441da919cc77411dd861.jpg)
Grupa arī norādīja: "Katrs mūsu paņemtais datu fragments netika šifrēts. Sony glabāja vairāk nekā 1 000 000 savu klientu paroļu vienkāršā tekstā, kas nozīmē, ka atliek tikai to izmantot. Tas ir apkaunojoši un nedroši: viņi to lūdza.
Grupa ir izlaidusi lielu daļu izlaupīto datu, lai gan tajos ir tikai neliels daudzums apdraudēto datu. Tiešsaistē ir publicētas arī pilnas datu bāzes, kā arī datu bāzes izkārtojuma teksta dokuments, lai palīdzētu iegūt datus. Datu bāzē ir gan militārās, gan valdības e-pasta un paroļu kombinācijas, kā arī Sony Pictures Online administratora konti.
![Sony Pictures tiešsaistē uzlauzts, izmantojot " primitīvu un izplatītu" ievainojamību, dati nav šifrēti [ziņu] izlaidumi](/f/59566d9ee73897798188270a0a71a661.jpg)
Šis fragments tika ņemts no dokumenta “FILE CONTENTS.txt”, kas pievienots LulzSec ierobežotajam laidienam:
Mūsu laupījuma saturs:
## Sony_Pictures_International_AUTOTRADER_USERS.txt ##– Šajā failā jūs atradīsiet nedaudz mazāk par 12 500 Sony klientiem; tas ietver dzimšanas datumus, adreses, e-pastus, pilnus vārdus, paroles, lietotāju ID un personīgos tālruņu numurus.
## Sony_Pictures_International_BEAUTY_USERS.txt ##– Šajā failā jūs atradīsiet nedaudz mazāk par 21 000 Sony klientu; šī ir vienkārša e-pasta/paroles nomešana. Izbaudiet sava konta zādzību.
## Sony_Pictures_International_COUPONS.txt ##– Šajā failā jūs atradīsiet nedaudz mazāk par 20 000 Sony mūzikas kuponiem; lūdzu, ņemiet vērā, ka ir jāņem 3,5 miljoni kuponu — iegūstiet tos.
## Sony_Pictures_International_DELBOCA_USERS.txt ##– Šajā failā jūs atradīsiet nedaudz mazāk par 18 000 Sony klientu; šī ir vienkārša e-pasta/paroles nomešana. Atkal izbaudiet savu zagšanu.
## Sony_Pictures_International_MUSIC_CODES.txt ##– Šajā failā jūs atradīsiet nedaudz mazāk par 67 000 Sony mūzikas kodiem; tie ir kā magnēti, mums vienkārši nav ne jausmas, kā tie darbojas.
## Sony_Pictures_International_TABLE_LAYOUT.txt ##– Šajā failā jūs atradīsiet datu bāzes izkārtojumu; tas nozīmē, ka varat viegli redzēt, no kurienes zagt lietas.
Ņemiet vērā, ka datu bāzē ir daudz vairāk lietotāja informācijas/kuponu, nekā mēs paņēmām. Lieta ir tāda, ka mēs tos kontrolējām; visus. Pārējo atstājam tavā ziņā – zog, cik gribi, ej tālāk!
PAPILDU ĪPAŠUMA:
## Sony_BMG_Music_Entertainment_NETHERLANDS ##– Šis fails satur BMG Netherlands lietotāju datubāzi; tas ir aptuveni 600 lietotājvārdu, e-pasta un paroļu. Izbaudi.
## Sony_BMG_Music_Entertainment_BELGIUM ##– Šis fails satur BMG Belgium Sony administratora datubāzi; arī daudz svītrkodu, izlaišanas datumi un citi sūdīgi sūdi.
Grupa bija atbildīga arī par vairākiem citiem nesenajiem drošības pārkāpumiem, tostarp sabiedriskās apraides dienesta (PBS) tīmekļa vietnes un Japānas Sony Music sabojāšanu. Sony ir atzinis apgalvojumus un tiek ziņots, ka veic izmeklēšanu.
![Sony Pictures tiešsaistē uzlauzts, izmantojot " primitīvu un izplatītu" ievainojamību, nešifrēti dati [Ziņas] torrents](/f/acd222a5fb50b693e8132fab1b0694db.jpg)
Avots: LulzSecurity.com / @LulzSec
Vai domājat, ka varētu veikt labāku drošības darbu? Vai esat dusmīgs uz Sony, ka tas neaizsargā jūsu informāciju? Vai esat dusmīgs uz hakeriem par to, ka viņi to vispirms nozaguši? Izlaidiet tvaiku zemāk esošajos komentāros!
Tims ir ārštata rakstnieks, kurš dzīvo Melburnā, Austrālijā. Jūs varat sekot viņam Twitter.