قرصنة Sony Pictures Online باستخدام ثغرة "بدائية ومشتركة" ، بيانات غير مشفرة [الأخبار]

الإعلانات

أعلنت مجموعة القراصنة "LulzSec" مساء الخميس عبر تويتر أنها تمكنت من الوصول إلى موقع SonyPictures.com وسرقت أكثر من مليون حساب وكلمة مرور ومعلومات حساسة للمستخدم. بعد فترة وجيزة من انتشار الأخبار ، ظهرت نسخ من البيانات المخترقة على مواقع مشاركة الملفات (مثل MediaFire ، حيث تمت إزالته) ومتتبعات BitTorrent بما في ذلك The Pirate Bay.

تركت المجموعة رسالة على PasteBin تكشف عن المدى الكامل للتطفل ، والذي يتضمن الآلاف من مجموعات البريد الإلكتروني وكلمات المرور ، المعلومات الشخصية (بما في ذلك الأسماء والعناوين وتواريخ الميلاد وأرقام الهواتف) ، وما يقرب من 3.5 مليون "قسيمة موسيقية" وأكثر من 60.000 "موسيقى رموز ". أعلنت المجموعة أيضًا أنه تم التغلب على أمان Sony من خلال هجوم حقن SQL بسيط.

في تصريحقالت الجماعة:كان موقع SonyPictures.com مملوكًا بحقنة SQL بسيطة جدًا ، وهي واحدة من أكثر نقاط الضعف بدائية وشائعة ، كما يجب أن نعرف جميعًا الآن. من حقنة واحدة ، وصلنا إلى كل شيء. لماذا تضع مثل هذه الثقة في شركة تسمح لنفسها بالانفتاح على هذه الهجمات البسيطة؟”

وقالت الجماعة أيضا: "لم يتم تشفير كل جزء من البيانات التي أخذناها. قامت Sony بتخزين أكثر من 1،000،000 كلمة مرور لعملائها في نص عادي ، مما يعني أن الأمر مجرد مسألة أخذها. هذا أمر مخز وغير آمن: لقد كانوا يطلبون ذلك ".

أصدرت المجموعة الكثير من البيانات المنهوبة ، على الرغم من أنها تحتوي فقط على كمية صغيرة من البيانات المخترقة. كما تم نشر قواعد البيانات الكاملة على الإنترنت ، جنبًا إلى جنب مع وثيقة نصية لتخطيط قاعدة البيانات للمساعدة في استخراج البيانات. تحتوي قاعدة البيانات على مجموعات من البريد الإلكتروني العسكري والحكومي وكلمات المرور ، وأيضًا حسابات المسؤول في Sony Pictures Online.

تم أخذ المقتطف التالي من مستند "FILE CONTENTS.txt" المصاحب للإصدار المحدود لشركة LulzSec:

محتويات نهبنا:
## Sony_Pictures_International_AUTOTRADER_USERS.txt ## - ستجد في هذا الملف أقل من 12500 عميل لسوني ؛ يتضمن ذلك تواريخ الميلاد والعناوين ورسائل البريد الإلكتروني والأسماء الكاملة وكلمات المرور ومعرفات المستخدم وأرقام الهواتف الشخصية.
## Sony_Pictures_International_BEAUTY_USERS.txt ## - ستجد في هذا الملف أقل من 21000 عميل لسوني ؛ هذا هو إسقاط بسيط للبريد الإلكتروني / كلمة المرور. استمتع بسرقة حسابك.
## Sony_Pictures_International_COUPONS.txt ## - ستجد في هذا الملف أقل من 20،000 كوبون موسيقى Sony ؛ يرجى ملاحظة أن هناك 3.5 مليون كوبون لأخذها - احصل عليها.
## Sony_Pictures_International_DELBOCA_USERS.txt ## - ستجد في هذا الملف أقل من 18000 عميل لشركة Sony ؛ هذا هو إسقاط بسيط للبريد الإلكتروني / كلمة المرور. مرة أخرى ، استمتع بالسرقة.
## Sony_Pictures_International_MUSIC_CODES.txt ## - ستجد في هذا الملف أقل من 67000 رمز موسيقى Sony ؛ إنها مثل المغناطيس ، ببساطة ليس لدينا أي فكرة عن كيفية عملها.
## Sony_Pictures_International_TABLE_LAYOUT.txt ## - ستجد في هذا الملف تخطيط قاعدة البيانات ؛ هذا يعني أنه يمكنك بسهولة معرفة مكان سرقة الأشياء.
لاحظ أن قاعدة البيانات تحتوي على معلومات / قسائم مستخدم أكثر بكثير مما أخذناه. المهم هو أننا كنا نسيطر عليهم. كل منهم. نترك الباقي لك - اسرق بقدر ما تريد ، انطلق!
ملكية إضافية:
## Sony_BMG_Music_Entertainment_NETHERLANDS ## - يحتوي هذا الملف على قاعدة بيانات مستخدم BMG هولندا ؛ حوالي 600 اسم مستخدم ورسائل بريد إلكتروني وكلمة مرور. يتمتع.
## Sony_BMG_Music_Entertainment_BELGIUM ## - يحتوي هذا الملف على قاعدة بيانات إدارة Sony الخاصة بـ BMG Belgium ؛ أيضا الكثير من الرموز الشريطية ، وتواريخ الإصدار ، وغيرها من القرف العصير.

كانت المجموعة مسؤولة أيضًا عن العديد من الانتهاكات الأمنية الأخيرة ، بما في ذلك تشويه موقع خدمة البث العامة (PBS) وموسيقى سوني اليابانية. أقرت شركة Sony بالادعاءات ويقال إنها تحقق في الأمر.

المصدر: LulzSecurity.com / تضمين التغريدة
هل تعتقد أنه يمكنك القيام بعمل أفضل في مجال الأمن؟ هل أنت غاضب من شركة Sony لعدم حماية معلوماتك؟ غاضب من المتسللين لسرقتها في المقام الأول؟ تنفيس عن بعض البخار في التعليقات أدناه!