Sony vs. hackeři? Hackeři stále vedou, další hacknutý web Sony

Web Sony Pictures Entertainment hacknut. Podle hackerů pomocí jednoduchého využití SQL injection (vsunutí SQL příkazu). Na internetu tak můžete najít data z hacku, který mimo jiné hackerům poskytl hesla a přihlašovací údaje milionu lidí.

We recently broke into SonyPictures.com and compromised over 1,000,000 users‘  personal information, including passwords, email addresses, home addresses,  dates of birth, and all Sony opt-in data associated with their accounts.  Among other things, we also compromised all admin details of Sony Pictures  (including passwords) along with 75,000 „music codes“ and 3.5 million „music coupons“.

Získané údaje obsahují nejenom přihlašovací informace, ale také adresy, data narození, e-maily a další informace. Hackeři získali i 75 tisíc „music codes“ a 3.5 milionu „music coupons“ – kódů a kuponů, které je možné použít pro nákup hudby.

„Our goal here is not to come across as master hackers, hence what we’re about to reveal: SonyPictures.com was owned by a very simple SQL injection, one of the most primitive and common vulnerabilities, as we should all know by now. From a single injection, we accessed EVERYTHING. Why do you put such faith in a company that allows itself to become open to these simple attacks?“ komentuje hack LulzSec, skupina zodpovědna za hack

Vedle Sony Picture Entertianment se LulzSec podařilo proniknout i do systémů Sony BMG Belgium & Netherlands. A hackům Sony služeb a webů asi není zdaleka konec – je potřeba si uvědomit, že Sony je sice jedna společnost, ale její jednotlivé divize jsou samostatné. A i v jednotlivých zemích zpravidla dochází k tomu, že provozují zcela nezávislé weby a různé služby.

Dění okolo hacknutých služeb Sony tak vypovídá více o stavu firem, které vyvíjejí webové služby, než o samotném Sony. S výjimkou prvního hacku PlayStation Network jsou další hacky často hlavně ukázkou neschopnosti dodavatelů, než samotné Sony.

Anonymous možná nakonec jsou za hackem PSN

Podle Financial Times jsou Anonymous pravděpodobně za hackem Sony PlayStation Network. A to i přes to, že Anonymous to popírají. Dva z veteránů Anonymous uvádějí, že původní plán narušit funkčnost služeb Sony jeden nebo několik z členů tohoto volného uskupení neuspokojil. Výsledkem je hack PSN, krádež desítek milionů údajů uživatelů i množství údajů o platebních kartách.

Jeden ze členů Anonymous sdělil FT, že viděl detaily o bezpečnostních nedostatcích sítě Sony, které umožnili hack (viz SONY PSN mimo provoz, způsobil to hacker), v chat diskuzích krátce předtím, než došlo k hacku. „Hacker který to udělal podporoval OpSony aktivity,“ řekl doslova.

Sony PlayStation Network je prozatím stále mimo provoz – tento týden mělo původně dojít ke spuštění (viz Hackeři vykradli údaje z 24 milionů účtů uživatelů Sony Online Entertainment a Sony obnoví část PlayStation Network služeb, stále ale není jasno zda došlo k úniku čísel kreditní karet).

Hackeři vykradli údaje z 24 milionů účtů uživatelů Sony Online Entertainment

Hack služeb Playstation Network a Qriocity není osamocený, Sony v pondělí oznámilo, že hackeři vykradli údaje z 24 milionů účtů Sony Online Entertainment. Sony také potvrdilo, že došlo i k úniku čísel platebních a kreditních karet.

Hackeři se dostali k jménům, adresám, e-mailovým adresám, datům narození, telefonním číslům a přihlašovacích údajů, včetně získání přístupu k „starší“ databází z roku 2007. S 77 miliony vykradenými účty z PSN se tak Sony dostává na rekordních více než 100 milionů účtů vykradených hackery.

Služba Sony Online Entertainment byla odstavena

Zdroj: Hackers infiltrate second Sony gaming service

Sony obnoví část PlayStation Network služeb, stále ale není jasno zda došlo k úniku čísel kreditní karet

Sony obnoví některé PlayStation Network služby příští týden – hráči budou moci opět hrát, přístupná bude opět Qriocity, hudební služby, seznamy přátel, chat a možnost půjčovat si filmy.

Kaz Hiray, Sony executive deputy president, na tiskové konferenci v Tokiu nabídl „nejhlubší a nejupřímnější omluvu“ za dvou týdenní výpadek PlayStation Network a omluvil se i těm, jejichž osobní informace byly kompromitovány. Úspěšný útok neznámých hackerů jim přinesl přes 77 milionů osobních informací a nedořešena zůstává otázka zda došlo (či nedošlo) k úniku čísel kreditní a platebních karet. Sony uvádí, že tyto informace byly kódovány a k úniku dojít nemělo. Neznámí hackeři nicméně nabízejí miliony čísel z PSN na černém trhu.

This criminal act against our network had a significant impact not only on our consumers but our entire industry,” uvedl Hirai. “These illegal attacks obviously highlight the widespread problem with cyber-security.

PSN a Qriocity služby byly kompletně přesunuty do nového datového centra, zavedena řada nových bezpečnostních opatření, včetně dodatečných ochran pomocí firewall, posílení šifrování a monitorování. V rámci společnosti vznikla i nová pozice šéfa pro informační bezpečnost, podléhající přímo CIO Shinji Hasejima. Uživatele PSN čeká povinná změna hesla a pravděpodobně i požadavky na ověření identity.

Jako „odškodné“ za problémy Sony nabízí kampaň „Welcome back“ (Vítejte zpět) – 30 denní předplatné PSN a nabídku software ke stažení zdarma. Podobná nabídka je k dispozici pro uživatele služby Qriocity.

Sony má obrovský problém, hack PSN se možná týká i čísel platebních karet

Sony PlayStation Network a Qriocity služba byla hacknuta. Potvrzuje to aktuální informace od Sony. Hack vedl k získání informací z PSN/Qriocity, osobních údajů a pravděpodobně i kompletních údajů o platebních kartách, které uživatelé používají v těchto službách

Update on PlayStation Network and Qriocity (text viz též níže) potvrzuje hacknutí (vnější zásah) do PSN/Qriocity – pro uživatele přináší hodně nepříjemnou zprávu – hackerům se nejspíš podařilo získat přístup nejenom k informací o hráčích, ale také jejich osobním informacím a číslům a možná i detailům platebních karet.

Sony trvalo skoro týden, než uživatelé tuto informaci dostali – poněkud problematické načasování, protože za tu dobu řada z nich mohla být hackery poškozena. V případě PSN/Qriocity jde navíc o desítky milionů lidí z celého světa (70 milionů hráčů).

Valued PlayStation Network/Qriocity Customer:
We have discovered that between April 17 and April 19, 2011, certain PlayStation Network and Qriocity service user account information was compromised in connection with an illegal and unauthorized intrusion into our network. In response to this intrusion, we have:

  1. Temporarily turned off PlayStation Network and Qriocity services;
  2. Engaged an outside, recognized security firm to conduct a full and complete investigation into what happened; and
  3. Quickly taken steps to enhance security and strengthen our network infrastructure by re-building our system to provide you with greater protection of your personal information.

We greatly appreciate your patience, understanding and goodwill as we do whatever it takes to resolve these issues as quickly and efficiently as practicable.

Although we are still investigating the details of this incident, we believe that an unauthorized person has obtained the following information that you provided: name, address (city, state, zip), country, email address, birthdate, PlayStation Network/Qriocity password and login, and handle/PSN online ID. It is also possible that your profile data, including purchase history and billing address (city, state, zip), and your PlayStation Network/Qriocity password security answers may have been obtained. If you have authorized a sub-account for your dependent, the same data with respect to your dependent may have been obtained. While there is no evidence at this time that credit card data was taken, we cannot rule out the possibility. If you have provided your credit card data through PlayStation Network or Qriocity, out of an abundance of caution we are advising you that your credit card number (excluding security code) and expiration date may have been obtained.

For your security, we encourage you to be especially aware of email, telephone, and postal mail scams that ask for personal or sensitive information. Sony will not contact you in any way, including by email, asking for your credit card number, social security number or other personally identifiable information. If you are asked for this information, you can be confident Sony is not the entity asking. When the PlayStation Network and Qriocity services are fully restored, we strongly recommend that you log on and change your password. Additionally, if you use your PlayStation Network or Qriocity user name or password for other unrelated services or accounts, we strongly recommend that you change them, as well.

To protect against possible identity theft or other financial loss, we encourage you to remain vigilant, to review your account statements and to monitor your credit reports. We are providing the following information for those who wish to consider it:

SONY PSN mimo provoz, způsobil to hacker

Několikadenní výpadek Sony PlayStation Network znemožňuje hráčům přístup ke hrám. Po několika dnech dohadů Sony přiznalo, že nefunkční PSN je způsoben hackem.

An external intrusion on our system has affected our PlayStation Network and Qriocity services. In order to conduct a thorough investigation and to verify the smooth and secure operation of our network services going forward, we turned off PlayStation Network & Qriocity services on the evening of Wednesday, April 20th. Providing quality entertainment services to our customers and partners is our utmost priority. We are doing all we can to resolve this situation quickly, and we once again thank you for your patience. We will continue to update you promptly as we have additional information to share.  (Update On PlayStation Network/Qriocity Services)

Po útoku hackera, kterému se zjevně podařilo dostat dovnitř systému, došlo k nutnému kroku – Sony odstavilo kompletní PlayStation Network a Qriocity služby.

Sony se v dubnu stalo cílem Anonymous v souvislosti s právními kroky proti hackerovi známému pod přezdívkou GeoHot (viz Anonymous jde po Sony, odveta za žalobu týkající se PS3 hackera). Snahy o klasické DoS (Denial of Service) se ale nestaly úspěšnými. Sony právní spor nakonec vyřešilo dohodou a ukončilo.

Zda průnik hackera do systému Sony souvisí s Anonymous není známo.