23:31
2/6/2011

Zgubiliśmy się już w liczeniu, który to z kolei atak na Sony. Hasła, e-maile, adresy domowe, daty urodzenia i inne informacje na temat ponad miliona kont należących do klientów Sony zostały dziś wykradzione z serwisu SonyPictures.com. Za atakiem stoi grupa LulzSec, która twierdzi, że włamania dokonała bez zbytniego wysiłku.

Operacja Sownage

W opublikowanym przez LulzSec oświadczeniu włamywacze wskazują na podatny na SQL injection skrypt:

http://www.sonypictures.com/homevideo/ghostbusters/photoupload/view.php?id=12838
TEAR THE LIVING SHIT OUT OF IT WHILE YOU CAN; TAKE FROM THEM EVERYTHING!

…i dodają, że oprócz danych miliona klientów Sony uzyskali także dostęp do informacji dotyczących administratorów serwera oraz 3,5 miliona kuponów muzycznych. Atakującym nie chciało się wykradać całości bazy (czas), ale to co ściągnęli udostępnili na torrentach. LulzSec podkreśla, że wszystkie dane nie były zaszyfrowane (tak, tak, Sony trzymało milion haseł w “plaintekście”).

Sony Sorry

Przedstawiciele Sony przepraszają za włamanie.

I pomyśleć, że to wszystko zaczęło się od prześladowania GeoHota, który próbował przywrócić usuniętą z PlayStation opcję Other OS…

P.S. Swoją drogą, to żyjemy w ciekawych czasach — grupy “hackerskie” publikują informacje prasowe o swoich włamaniach….

Przeczytaj także:



67 komentarzy

Dodaj komentarz
  1. Sony właśnie wygrało nagrodę na największą liczbę luk na linię kodu oraz powinno zostać wpisane do Księgi Guinessa jako firma, której wyciekła największa ilość danych do Internetu.

    • Spokojnie, każdy uczy się na błędach :)

  2. “że wszystkie dane nie były zaszyfrowane”

    Ej, ej, ej – podwójne zaprzeczenie – “że żadne dane nie były zaszyfrowane”

    • Niestety, obie wersje są poprawne i obie mają to samo znaczenie. Język Polski jest pod tym względem nieco nielogiczny. Podobny przykład: „nie mam żadnych pieniędzy” i „nie mam jakichkolwiek pieniędzy‭‭” (można się spierać co najwyżej o odcień znaczeniowy).

    • zgodnie z logiką powinnismy pisac: “żadne dane były zaszyfrowane” tak?

    • ‘wszystkie dane nie byly zaszyfrowane’ oznacza ze czesc byla zaszyfrowana ale nie wszystkie

    • Język pisany różni się od mówionego, można intonacją zaznaczyć logiczny podział zdania, co w tym wypadku jest potrzebne. Bez tego nie wiadomo co mówiący miał na myśli kiedy wypowiedź rzutujemy na pismo w postaci „wszystkie dane nie były zaszyfrowane”. Jeśli akcent zdaniowy padnie na „wszystkie dane”, otrzymamy „wszystkie dane nie | były zaszyfrowane”. Akcent może paść na „zaszyfrowane” lub „nie”, otrzymamy wtedy „wszystkie dane | nie były zaszyfrowane”.
      Ale to nie jest nielogiczne, zazwyczaj da się wywnioskować wszystko z kontekstu. W tym miejscu „żadne dane…” nie zmieniło by treści ale za to ją ujednoznaczniło .

    • amen.rację ma sta żona moja to polonistka. przyznaję ci 10 pkt :)

  3. BOL (=starszy brat LOLa).
    Chyba dziś rano pisano, że przywrócono PlayStation Network i pomyślałem sobie: no to co i kiedy tym razem?

    • ale, że jak Ty rozwijasz ten skrót – bukake out louds zamiast laughing out louds czy co?

    • @kuriusz: rtfm!
      http://en.wikipedia.org/wiki/Bol

  4. o, proszę.
    sql injection wiecznie żywe! :)

  5. Niech lepiej zaczną robić tylko telewizory. Oczywiście bez Internetu.

  6. grupy “hackerskie” publikują informacje prasowe o swoich włamaniach….

    Bo już nie mają czego się bać. Zanim dojdzie do zatrzymań/procesu to sami zainteresowani i koledzy po fachu będą kłaść stronę raz za razem, a wszystkie pozyskane dane polecą na torrenty. Nie warto dla 3-4 wyroków skazujących w zawieszeniu ;)

  7. ciekawe czy będzie w tym roku tydzień bez włamu do sony

    • Miesiąc bez włamania do sony to będzie coś ;)

  8. Szczerze mówiąc, po takiej firmie jak sony w życiu bym się nie spodziewał, że hasła mogliby trzymać plaintextem. Ciekawe ilu ich użytkowników używało tego samego l/p do innych miejsc ;-)

  9. Ci to mają przeje*ane :DD

  10. „dostęp do i informacji” (akapit nad zdjęciem) – czyżby literówka?

  11. To już robi się nudne. :-)

  12. To już przestaje być nawet śmieszne.

  13. Sony trzymało milion haseł w “plantekście”

    Chyba chodziło o plaintext – chyba że planujecie jakieś teksty ;)

    A włamy do sony robią się nudne, trzepali kasę bo działało to po co inwestować w bezpieczeństwo skoro działa, nadziali się.

  14. Jak to było ? że Sony wsadziło przyrodzenie w mrowisko ?
    swoją drogą, stawiam paczkę orzeszków, ze następny włam do Sony będzie nie dalej jak za dwa tygodnie.

    • … o ile serwery będą podpięte do internetu…

  15. Sony samo prosiło się o to blokując Other OS…
    Jeśli M$ w swoim “nowym” produkcie (Skype) zaprzestanie wsparcia dla Pingwina i Makówki, będą zapewne następnym w kolejce ;)

    • Szczerze watpie zeby blokowanie OtherOS bylo bezposrednia przyczyna. To byl po prostu slaby ruch ze strony Sony. To co wszystkich rozwscieczylo, byl fakt pozwania do sadu GeoHota, wyciagniecie od twittera i google’a wszystkich numerow IP osob ktore przeczytaly jego wpis albo ogladnely film o ataku na youtubie (albo weszly na jego strone, albo jego blog). Po prostu Sony przegielo, to nie byl tylko slaby PR to byly represje za ktore teraz placi. Nie jest mi w zadnym stopniu szkoda Sony. Juz po tamtych wydarzeniach stwierdzilem, ze ta firma nie zarobi na mnie zlamanego centa a powtarzajace sie kompromitacje tylko sprawiaja, ze usmiecham sie coraz mocniej.

    • Mnie mimo wszystko jest trochę szkoda Sony kojarzy mi się głównie z “sony computer entertainment europe”, które stworzyło kultowe gry na playstation :(

  16. najwyzsza pora, w sensie ze im wszystkim nalezy sie porzadny kop w tylek
    jeszcze jakby kopneli microsoft i appla to bym byl jeszcze bardziej zadowolony :D
    teraz jeszcze by sie przydal pozew zbiorowy od uzytkownikow sieci Sony

    dlaczego? mam dosc bycia beta testerem oprogramowania/systemow, no przydalo by sie zeby wielcy gracze na rynku rozrywki brali odpowiedzialnsc za swoje produkty, bo z nich biora przyklad mniejsi, a wszyscy wiemy jak to aktualnie wyglada

    • Betatesterem moszna być dla przyjemności jeśli się tego chce. Ale faktem jest, że finalne produkty i systemy powinny być dopracowane w każdym calu, łącznie z kwestią bezpieczeństwa.

  17. Masta programiści z gimnazjum już hashują hasła a Sony jeszcze nie.. dziwny jest ten świat.

    • Święte słowa…

  18. Po jednym z pierwszych włamań, Sony przyznało się, że nie było zatrudnionego żadnego oficera bezpieczeństwa (Information Security Officer). Skoro przywrócili PSN, rozumiem, że takie stanowisko już u nich powstało. A jak sobie ten nowy oficer radzi – widzymy na przykładzie kolejnego włamania. Nie ma takiej drugiej fuchy na świecie, co taka byłaby lekka! :)

    • Pamiętaj, że Sony to nie jedna firma, a kilka bytów powiązanych z sobą marką.
      Gdyby byli mądrzy zatrudniliby do każdej od konsol po wytwórnię filmową.

    • Analiza bezpieczeństwa tysiąca stron SONY, każdej podstrony, każdej usługi może trwać b.długo.

  19. “Szczerze mówiąc, po takiej firmie jak sony w życiu bym się nie spodziewał, że hasła mogliby trzymać plaintextem.”

    E tam, serwis i tak wykonywała pewnie jakaś zewnętrzna firma. Jeżeli ktoś miał łeb na karku i podpisali dobrą umowę to odpowiedzą im za to. Na rynku jest wiele dużych, “poważnych” firm, na których wizerunek dają się złapać ludzie. Biorą dużą kasę za serwisy, a zlecają to początkującym programistom za grosze. Praktyka szczególnie stosowana w Polsce i coś o tym wiem. :>

    • Transfer of trust się kupuje, a nie stronę. Takie życie.

  20. Ichni CSO to pewnie próbuje audyt wewnętrzny zrobić i przepycha się z PM-ami i innymi &&**%. Zanim coś radykalnie poprawią to jeszcze troszkę czasu minie, a poza tym nie da się zrobić wszystkiego na raz. Jak cała korporacja taki burdel ma, to co? Robią po kolei, tylko się nie wyrabiają :(
    Szkoda Sony, dobra marka to BYŁA :/

  21. skoro taki bałagan mają w sieci to jaki maja w firmware

  22. To jakie subfirmy Sony jeszcze posiada? Były już konsole, muzyka, teraz wytwórnia filmowa…Pora na człon produkujący aparaty foto?
    Do końca roku chyba firm spółek starczy “dzieciakom” na zabawę…

    • Imo komóry i cała ta synchronizacja SE – to dopiero będą dane: numery, dane personalne i to nie tylko właścicieli ale zapisanych kontaktów :D

  23. SONY leży i robi pod siebie! :D

  24. A japońska etykieta przewiduje w ogóle na te okazje odpowiednią głębokość ukłonu? Bo coś mi się widzi, że załączone zdjęcia są za poprzednie faile, a teraz cały zarząd przygotowuje zbiera kompleksowe oferty na organizację zbiorowego seppuku :)

  25. Za hasła zapisane w plaintext powinni solidnie beknąć. Kongres USA i Komisja Europejska się nimi zajmą z uwagi na stworzenie zagrożenia dla wielu ludzi. Tak się kończy oszczędzanie na IT. Pozostaje tylko nadzieja, ze SonyEricsson ma jednak inne standardy, choć teraz trudno im ufać.

    Cóż użytkownikom PSN pozostaje konto mailowe dedykowane tylko PSN i karta prepaid ładowana małymi sumami jedynie na potrzeby bieżących transakcji. Taką kartę za 5 zł oferuje DotPass (www.dotpass.pl). Jest to karta prepaid Visa Electron w PLN wydawana przez BZ WBK we współpracy z Dotpay, jednak w odróżnieniu od prepaidów BZ WBK kosztuje tylko 5 zł. Oczywiście przelew z banku innego niż BZ WBK musi być robiony wcześniej (przelewy międzybankowe nie idą w weekend i święta). BZ WBK oferuje też karty walutowe w EUR, GBP i USD po 15 zł. Jak dla mnie karty prepaid są dobrym wyjściem dla tych, którzy koniecznie chcą dokonywać transakcji w PSN, bo w razie najgorszego złodziej ma do dyspozycji jedynie sumę na karcie prepaid a użytkownik zorientowawszy się, że cos jest nie tak (trzeba zarejestrować kartę w serwisie http://WWW.prepaid.bzwbk.pl, można zarejestrować do 10 kart) łatwo ją zastrzeże i kupi nową. Są to zwykłe karty z chipem do płacenia w necie i terminalach online (czyli nie na promie, w samolocie itp.). Jeśli zaś karta ma służyć jedynie do transakcji internetowych to polecam kartę internetową bez plastiku w formie plików PDF za jedyne 1 zł, ewentualnie będąc w halach Targów Kielce można dostać bezpłatnego prepaida internetowego (w zeszłym roku było trochę tych kart, nie wiem czy jeszcze są).

    Co ciekawe w UK istnieje karta kredytowa z logo Sony (Sony Card, http://www.sony.co.uk/hub/sonycard). Ciekawe czy atak na sieć Sony oznacza zdobycie danych klientów tej karty, choć z drugiej strony Sony nie ma przecież bezpośredniego połączenia z bankiem. Ale jeśli karta została użyta w sklepie Sony w PSN itp. (a zapewne została z uwagi na punkty Sony Rewards) to w grę wchodzi masowa wymiana kart. Poza tym bank wydający kartę wspólnie z Sony (MBNA Europe Bank Limited) powinien zagrozić natychmiastowym wypowiedzeniem umowy, jeśli Sony nadal nie będzie odpowiednio dbało o bezpieczeństwo danych. A jak widać nie dba, skoro hasła były niekodowane w plaintext.

    PS
    Kto użył hasła z zaatakowanych sieci Sony w innych serwisach niech je zmieni. Kto używał karty w PSN i ogólnie w sklepie Sony niech bacznie obserwuje wyciąg na okoliczność ew. fraudów.

    • Wiele innych instytucji również wydaje karty pre-paid, np. mBank (karta ładowana i rozładowywana z konta), Citi Handlowy (samodzielne karty prepaid podobne do tych z WBK) lub Entropay (tylko wirtualne).

    • Hej Pawle, dzięki za wpis bo faktycznie ukazuję skuteczną drogę do zabespieczenia
      swoich środków finansowych i dla wielu osób będzie pomocny.
      Natomiast mam pytanko, bo może sie orientujesz – te karty dotpass są jeszcze
      w ogóle dostępne? Bo z tego co pamiętam miały one pewną przpadłość – były
      aktywne bodajże to końca marca 2011 i stąd też chcieli się ich wyzbyć – stąd cena 5 PLN
      Bo strona dotpass.pl jak powstała tak już chyba nikt się nią nie opiekuję i chyba tylko
      co najwyżej wprowadza potencjalnych klientów w błąd.
      Pozdrawiam

    • ING też ma taką kartę…

      Swoją drogą ile Ci zapłacili za wpisanie tego tekstu? Pracujesz w marketingu szemranym?

  26. Nie ma co wierzyć w to że Sony to jest jedyny koncern którego infrastruktura informatyczna jest źle zabezpieczona itp. itd. Oni po prostu zwrócili na siebie uwagę… Być może następnym razem będzie (jeśli już nie był) to Microsoft, Apple czy jeszcze ktoś inny kto sobie zbytnio pofolguje w jakichś działaniach przeciwko (przez nich tak rozumianemu) “piractwu” itp.

  27. Tak to jest – żałowali paru groszy na prawdziwych programistów to teraz mają za swoje! Hasła w plain text! Skrypty podatne na sql injection! Brak ograniczeń na ściąganie danych! Wszystko świadczy, że SONY ma jakość z najniższej półki – dno i dwa metry mułu a nie profesjonalna firma!

    • Precyzyjniej mówiąc jakość produktów Sony jest wyższa od jakości IT. Tyle, że od IT zależy także jakość sprzętu (firmware, współpraca z internetem i zaufanie do sprzętu Sony etc.). Sprzęt Sony swoje wady ma. Ja np. mam telewizor, który ma łącze USB ale nie dla klienta (jest za zaślepka podpisane Service Only). Nie można więc oglądać zdjęć z pendriwa, słuchać muzyki, oglądać filmów czy wgrać firmware. Nie ma tez dostępu do firmware tego tv, więc z uwagi na problemy z HDCP w dekoderze Vectry (dekoder firmy ADB, mniej więcej odpowiednik nBox Recordera) musieli przychodzić panowie z serwisu Sony (miało to miejsce rok temu, teraz mam Mediaboxa UPC i żadnych problemów). Mógłbym sobie zaktualizować firmware sam z pendriwa, ale Sony woli angażować do tego serwis. Nie wiem jak jest w najnowszych telewizorach Sony z dostępem do internetu o ile takowe na rynku są (ale pewnie są, bo inaczej nie byłoby Google TV właśnie firmy Sony), ale nie wyobrażam sobie niemożności aktualizacji firmware z internetu.

    • Pawel, PROSZE, nie mow o TV, bo mi sie nie chce prostowac paru rzeczy, weekend jest a ja unikam pracy w domu.

    • trochę wymiękam – do tworzenia telewizorów LCD nie powinno być potrzeby zatrudniania specjalistów od bezpieczeństwa złożonych serwisów WWW tudzież aplikacji WWW

      A Ty piszesz o wyższości telewizora SONY – to miło że lubisz telewizję – ale ja jej nie oglądam więc liczą na jakiż przykład związany z bezpieczeństwem serwerów – tudzież jakością programistów…

  28. Nie były zaszyfrowane czy zahashowane? Bo to w sumie różnica…

  29. Ekhm – poniosło Was chłopaki. Grupka podała, że shakowała serwer a wy łykneliście to niczym aktorki porno “ładunek” ;)

    Skoro mieli czas na przechwałki na twiterze jak to hackneli Sony, jakim cudem nie dali rady zgrać simple plain non-crypted txt tylko wołają o kasę? ;>
    Skoro dane były tak łatwo dostępne, i był to czysty tekst to max godzinka i dane pękają, a oni bełkoczą o tygodniach w swojej prasówce.

    • hir: Oczywiście nie ściągnęliśmy pliku sownage.rar zawierającego nielegalnie zdobyte informacje i z tego powodu oczywiście nie wiemy, (a możemy jedynie podejrzewać ;>) że w archiwum znajdują się pliki Sony_Pictures_International_DELBOCA_USERS.txt, Sony_Pictures_International_AUTOTRADER_USERS.txt, Sony_Pictures_International_BEAUTY_USERS.txt które zwierają kilkadziesiąt tysięcy przykładowych rekordów z bazy Sony. Also, IMHO tu nie chodzi o to, żeby dać każdemu full-dumpa, bijąc klientów, ale żeby pokazać Sony, że dalej się da. Poza tym, w chwili publikacji sql injection jeszcze działał, więc zgrać całą bazę mogłeś sobie sam :>

    • Pójdziesz siedzieć!

    • Oczywiście masz pewność, że to dane od Sony a nie z innego włamu o którym nie wspomnieli?

      Nie mówię, że się mylisz, ale stosuję technikę ograniczonego zaufania w momencie gdy haxxory zaczynają wołać o kaskę :)

      btw – lukaliście, że wiecie o istnieniu luki? ;

      btw – Polecam chandleryzmy w kwestii rozwinięcia swoich ironicznych odpowiedzi :)
      I nie mam na myśli pewnego serialu z kraju Hamburgerów ;)

    • Mocno zwracasz uwagę na to ze wspomnieli o *dobrowolnych* dotacjach… Co w tym złego? Nikogo siłą nie zmuszają. Zreszta jak widać za dużo nie zebrali (62usd).

  30. A co jeśli to była pułapka, a nie wpadka ?

  31. Like za PS :D

  32. @Piotr Konieczny – a niby o jakiej innej formie *dotacji* mieli wspomnieć?
    Żądanie zapłaty byłoby nie taktem, więc wyboru nie mieli;)
    Podrzucili jakieś pliki z danymi osobowymi – nie wiemy skąd tak naprawdę są. Chyba, że odpowiesz na moje pytanie z wcześniejszego posta ;)

  33. A, i jeszcze można wspomnieć o tym, że LulzSec wczoraj (podobno) zaatakowało (podobno) udanie stronę organizacji spowinowaconej z FBI, zajmującej się bezpieczeństwem w internecie. Informację potwierdza fakt, że strona tej organizacji nie działa, a wcześniej był tam deface. I (podobno) dobrali się do jednego kolesia, którego wyciągneli dane (właściciela firmy whitehat), i (podobno) udało im się go ugadać w taki sposób, że zlecił im atak na inne firmy whitehatowe.

    Jeżeli wszystkie te informacje się potwierdzają, to kolesie właśnie przeszli z poziomu no, może damy zawiasy na poziom zagrożenie bezpieczeństwa Stanów Zjednoczonych Ameryki Północnej. O wszystkim informując na bieżąco. Mają jaja z adamantytu, nie ma co.

  34. Cytat za galik79 2011.06.03 00:35

    “(…)swoją drogą, stawiam paczkę orzeszków, ze następny włam do Sony będzie nie dalej jak za dwa tygodnie.”

    Gdzie Ci te orzeszki wysłać? ;]

    https://niebezpiecznik.pl/post/kolejny-atak-na-sony-wyciekly-plany-sieci-komputerowej-i-kod-zrodlowy/

  35. teoria mówi że to droga ewolucji. gdyby nie było ludzi od włamów to nie było by ludzi od zabezpieczeń. dobrze więc że jest ktoś komu chce się włamywać bo z drugiej strony znajdzie się ktoś kto chce z tym walczyć. i tak oto dążymy do nowej technologii…..

  36. […] jak pamiętacie, ma za sobą serię poważnych wpadek i jeden z najdłuższych publicznych pentestów w historii. Prawie przez pół roku, dzień w dzień, firma ta była (z niemałym sukcesem — […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: