William Charles
0 
4391
1355
El jueves por la noche, grupo de hackers “LulzSec” anunció a través de Twitter que habían obtenido acceso a SonyPictures.com y habían robado más de 1 millón de cuentas, contraseñas e información confidencial del usuario. Poco después de la noticia, aparecieron copias de los datos comprometidos en sitios web de intercambio de archivos (como MediaFire, donde se eliminó) y rastreadores de BitTorrent, incluido The Pirate Bay..
El grupo dejó un mensaje en PasteBin revelando el alcance total de la intrusión, que incluye miles de combinaciones de correo electrónico y contraseña, información personal (incluidos nombres, direcciones, fechas de nacimiento y números de teléfono), casi 3.5 millones “cupones de música” y más de 60,000 “códigos musicales”. El grupo también anunció que la seguridad de Sony fue superada por un simple ataque de inyección SQL.
En un comunicado, el grupo dijo: “SonyPictures.com era propiedad de una inyección SQL muy simple, una de las vulnerabilidades más primitivas y comunes, como todos deberíamos saber ahora. Desde una sola inyección, accedimos a TODO. ¿Por qué depositas tanta fe en una empresa que se abre a estos ataques simples??”
El grupo también declaró: “Todos los datos que tomamos no estaban encriptados. Sony almacenó más de 1,000,000 de contraseñas de sus clientes en texto plano, lo que significa que es solo cuestión de tomarlo. Esto es vergonzoso e inseguro: lo estaban pidiendo.”
El grupo ha publicado gran parte de los datos saqueados, aunque estos solo contienen una pequeña cantidad de los datos comprometidos. Las bases de datos completas también se han publicado en línea, junto con un documento de texto de diseño de base de datos para ayudar a la extracción de datos. La base de datos contiene combinaciones de correo electrónico y contraseñas militares y gubernamentales, y también cuentas de administrador para Sony Pictures Online.
El siguiente extracto fue tomado del “CONTENIDO DEL ARCHIVO.txt” documento que acompaña el lanzamiento limitado de LulzSec:
Contenido de nuestro saqueo:
## Sony_Pictures_International_AUTOTRADER_USERS.txt ## - En este archivo encontrará poco menos de 12,500 clientes de Sony; esto incluye fechas de nacimiento, direcciones, correos electrónicos, nombres completos, contraseñas, ID de usuario y números de teléfono personales.
## Sony_Pictures_International_BEAUTY_USERS.txt ## - En este archivo encontrará poco menos de 21,000 clientes de Sony; esta es una simple caída de correo electrónico / contraseña. Disfruta robando tu cuenta.
## Sony_Pictures_International_COUPONS.txt ## - En este archivo encontrará poco menos de 20,000 cupones de música de Sony; tenga en cuenta que hay 3,5 millones de cupones para llevar - consígalos.
## Sony_Pictures_International_DELBOCA_USERS.txt ## - En este archivo encontrará poco menos de 18,000 clientes de Sony; esta es una simple caída de correo electrónico / contraseña. Nuevamente, disfruta robando.
## Sony_Pictures_International_MUSIC_CODES.txt ## - En este archivo encontrará poco menos de 67,000 códigos de música de Sony; son como imanes, simplemente no tenemos idea de cómo funcionan.
## Sony_Pictures_International_TABLE_LAYOUT.txt ## - En este archivo encontrarás el diseño de la base de datos; eso significa que puedes ver fácilmente dónde robar cosas.
Tenga en cuenta que la base de datos contiene mucha más información de usuario / cupones de lo que tomamos. El punto es que teníamos control de ellos; todos Dejamos el resto a su cargo: robe todo lo que quiera, salga!
PROPIEDAD ADICIONAL:
## Sony_BMG_Music_Entertainment_NETHERLANDS ## - Este archivo contiene la base de datos de usuarios de BMG Países Bajos; tiene alrededor de 600 nombres de usuario, correos electrónicos y contraseñas. Disfrutar.
## Sony_BMG_Music_Entertainment_BELGIUM ## - Este archivo contiene la base de datos de administración de Sony de BMG Belgium; también muchos códigos de barras, fechas de lanzamiento y otras cosas jugosas.
El grupo también fue responsable de varias otras violaciones de seguridad recientes, incluida la desfiguración del sitio web del Servicio Público de Radiodifusión (PBS) y Sony Music de Japón. Sony ha reconocido las afirmaciones y se dice que está investigando.
Fuente: LulzSecurity.com / @LulzSec
¿Crees que podrías hacer un mejor trabajo de seguridad? ¿Enojado con Sony por no proteger su información? ¿Enojado con los piratas informáticos por robarlo en primer lugar? Vente un poco de vapor en los comentarios a continuación!