Annons
På torsdagskvällen meddelade hackergruppen "LulzSec" via Twitter att de hade fått tillgång till SonyPictures.com och stulit över 1 miljon konton, lösenord och känslig användarinformation. Strax efter att nyheten släpptes, dök kopior av den komprometterade informationen upp på fildelningswebbplatser (som MediaFire, där den togs bort) och BitTorrent-spårare inklusive The Pirate Bay.
Gruppen lämnade ett meddelande på PasteBin som avslöjar den fulla omfattningen av intrånget, vilket inkluderar tusentals e-post- och lösenordskombinationer, personlig information (inklusive namn, adresser, födelsedatum och telefonnummer), nästan 3,5 miljoner "musikkuponger" och över 60 000 "musik koder”. Gruppen meddelade också att Sonys säkerhet övervanns av en enkel SQL-injektionsattack.
I ett påstående, gruppen sa: "SonyPictures.com ägdes av en mycket enkel SQL-injektion, en av de mest primitiva och vanliga sårbarheterna, som vi alla borde veta vid det här laget. Från en enda injektion fick vi tillgång till ALLT. Varför sätter man sådan tilltro till ett företag som låter sig bli öppet för dessa enkla attacker?”
Gruppen sa också: "Varje bit av data vi tog var inte krypterad. Sony lagrade över 1 000 000 lösenord från sina kunder i klartext, vilket betyder att det bara är att ta det. Detta är skamligt och osäkert: de bad om det."
Gruppen har släppt mycket av den plundrade informationen, även om dessa bara innehåller en liten mängd av den komprometterade informationen. Fullständiga databaser har också lagts ut online, tillsammans med ett textdokument för databaslayout för att underlätta utvinningen av data. Databasen innehåller både militära och statliga e-post- och lösenordskombinationer, och även administratörskonton till Sony Pictures Online.
Följande utdrag togs från dokumentet "FILE CONTENTS.txt" som medföljer LulzSecs begränsade utgåva:
Innehållet i vårt plundring:
## Sony_Pictures_International_AUTOTRADER_USERS.txt ##– I den här filen hittar du knappt 12 500 kunder hos Sony; detta inkluderar födelsedatum, adresser, e-post, fullständiga namn, lösenord, användar-ID och personliga telefonnummer.
## Sony_Pictures_International_BEAUTY_USERS.txt ##– I den här filen hittar du knappt 21 000 kunder hos Sony; detta är ett enkelt e-post-/lösenordssläpp. Njut av att stjäla ditt konto.
## Sony_Pictures_International_COUPONS.txt ##– I den här filen hittar du knappt 20 000 Sony-musikkuponger; Observera att det finns 3,5 miljoner kuponger att ta – skaffa dem.
## Sony_Pictures_International_DELBOCA_USERS.txt ##– I den här filen hittar du knappt 18 000 kunder hos Sony; detta är ett enkelt e-post-/lösenordssläpp. Återigen, njut av att stjäla.
## Sony_Pictures_International_MUSIC_CODES.txt ##– I den här filen hittar du knappt 67 000 Sony-musikkoder; de är som magneter, vi har helt enkelt ingen aning om hur de fungerar.
## Sony_Pictures_International_TABLE_LAYOUT.txt ##– I den här filen hittar du layouten för databasen; det betyder att du enkelt kan se var du kan stjäla saker ifrån.
Observera att databasen innehåller mycket mer användarinformation/kuponger än vi tog. Poängen är att vi hade kontroll över dem; allihopa. Vi lämnar resten upp till dig – stjäl så mycket du vill, fortsätt!
YTTERLIGARE ÄGANDE:
## Sony_BMG_Music_Entertainment_NETHERLANDS ##– Den här filen innehåller användardatabasen för BMG Netherlands; det är cirka 600 användarnamn, e-postadresser och lösenord. Njut av.
## Sony_BMG_Music_Entertainment_BELGIUM ##– Den här filen innehåller Sonys admindatabas för BMG Belgium; också massor av streckkoder, släppdatum och annan saftig skit.
Gruppen var också ansvarig för flera andra säkerhetsöverträdelser nyligen, inklusive fördärvningen av Public Broadcasting Service (PBS) webbplats och Sony Music of Japan. Sony har erkänt påståendena och sägs undersöka saken.
Källa: LulzSecurity.com / @LulzSec
Tror du att du skulle kunna göra ett bättre säkerhetsarbete? Är du arg på Sony för att du inte skyddar din information? Arg på hackarna för att de stal den från början? Lufta ut lite ånga i kommentarerna nedan!
Tim är en frilansskribent som bor i Melbourne, Australien. Du kan följa honom på Twitter.