Сони Пицтурес онлајн хакован користећи „примитивну и уобичајену“ рањивост, подаци нешифровани [Новости]

Реклама

У четвртак увече, хакерска група „ЛулзСец“ објавила је путем Твитера да је добила приступ СониПицтурес.цом и украла преко милион налога, лозинки и осетљивих корисничких информација. Убрзо након што је вест објављена, копије компромитованих података појавиле су се на веб локацијама за дељење датотека (као што је МедиаФире, где је уклоњен) и БитТоррент трацкерима, укључујући Тхе Пирате Баи.

Група је оставила поруку на ПастеБин-у откривајући пуни обим упада, који укључује хиљаде комбинација е-поште и лозинки, личне податке (укључујући имена, адресе, датуме рођења и бројеве телефона), скоро 3,5 милиона „музичких купона“ и преко 60.000 „музичких кодови”. Група је такође објавила да је Сонијева безбедност превазиђена једноставним нападом СКЛ ињекције.

У Изјава, група је рекла: „СониПицтурес.цом је био у власништву врло једноставне СКЛ ињекције, једне од најпримитивнијих и најчешћих рањивости, као што би сви до сада требали знати. Од једне ињекције приступили смо СВЕМУ. Зашто верујете у компанију која себи дозвољава да постане отворена за ове једноставне нападе?”

Група је такође изјавила: „Сваки део података који смо узели није био шифрован. Сони је ускладиштио преко 1.000.000 лозинки својих купаца у отвореном тексту, што значи да је само ствар преузимања. Ово је срамотно и несигурно: они су то тражили.”

Група је објавила велики део опљачканих података, иако они садрже само малу количину компромитованих података. Пуне базе података су такође објављене на мрежи, заједно са текстуалним документом о изгледу базе података како би се олакшало екстракцију података. База података садржи и војне и владине комбинације е-поште и лозинки, као и администраторске налоге за Сони Пицтурес Онлине.

Следећи извод је преузет из документа „ФИЛЕ ЦОНТЕНТС.ткт“ који прати ЛулзСец-ово ограничено издање:

Садржај наше пљачке:
## Сони_Пицтурес_Интернатионал_АУТОТРАДЕР_УСЕРС.ткт ##– У овој датотеци ћете пронаћи нешто мање од 12.500 купаца компаније Сони; ово укључује датуме рођења, адресе, е-пошту, пуна имена, лозинке, корисничке ИД-ове и личне бројеве телефона.
## Сони_Пицтурес_Интернатионал_БЕАУТИ_УСЕРС.ткт ##– У овој датотеци ћете пронаћи нешто мање од 21.000 купаца компаније Сони; ово је једноставно испуштање е-поште/лозинке. Уживајте у крађи налога.
## Сони_Пицтурес_Интернатионал_ЦОУПОНС.ткт ##– У овој датотеци ћете пронаћи нешто мање од 20.000 Сони музичких купона; имајте на уму да је потребно узети 3,5 милиона купона – узмите их.
## Сони_Пицтурес_Интернатионал_ДЕЛБОЦА_УСЕРС.ткт ##– У овој датотеци ћете пронаћи нешто мање од 18.000 купаца компаније Сони; ово је једноставно испуштање е-поште/лозинке. Опет, уживајте у крађи.
## Сони_Пицтурес_Интернатионал_МУСИЦ_ЦОДЕС.ткт ##– У овој датотеци ћете пронаћи нешто мање од 67.000 Сони музичких кодова; они су као магнети, једноставно немамо појма како раде.
## Сони_Пицтурес_Интернатионал_ТАБЛЕ_ЛАИОУТ.ткт ##– У овој датотеци ћете пронаћи изглед базе података; то значи да можете лако да видите одакле да украдете ствари.
Имајте на уму да база података садржи много више корисничких информација/купона него што смо узели. Поента је да смо ми имали контролу над њима; сви они. Остало препуштамо вама – крадите колико хоћете, само напред!
ДОДАТНО ВЛАСНИШТВО:
## Сони_БМГ_Мусиц_Ентертаинмент_НЕТХЕРЛАНДС ##– Ова датотека садржи корисничку базу података БМГ Холандија; то је око 600 корисничких имена, имејлова и лозинки. Уживати.
## Сони_БМГ_Мусиц_Ентертаинмент_БЕЛГИУМ ##– Ова датотека садржи Сони админ базу података БМГ Белгије; такође пуно бар кодова, датума објављивања и других сочних срања.

Група је такође била одговорна за неколико других недавних кршења безбедности, укључујући нарушавање веб странице Јавног сервиса (ПБС) и Сони Мусиц оф Јапан. Сони је признао тврдње и наводно истражује.

Извор: ЛулзСецурити.цом / @ЛулзСец
Мислите да бисте могли боље да обавите посао безбедности? Љути на Сони што не штити ваше податке? Љут на хакере што су га уопште украли? Испустите мало паре у коментарима испод!