Publicité
![Sony Pictures Online piraté à l'aide de la vulnérabilité « primitive et commune », données non cryptées [Actualités] sonyhack](/f/08d78705a4b4f53f912044a675193b4e.jpg)
Jeudi soir, le groupe de hackers « LulzSec » a annoncé via Twitter qu'il avait eu accès à SonyPictures.com et volé plus d'un million de comptes, mots de passe et informations sensibles sur les utilisateurs. Peu de temps après l'annonce de la nouvelle, des copies des données compromises faisaient surface sur des sites Web de partage de fichiers (tels que MediaFire, où elles ont été supprimées) et sur des trackers BitTorrent, notamment The Pirate Bay.
Le groupe a laissé un message sur PasteBin révélant toute l'étendue de l'intrusion, qui comprend des milliers de combinaisons d'e-mails et de mots de passe, informations personnelles (y compris les noms, adresses, dates de naissance et numéros de téléphone), près de 3,5 millions de « coupons de musique » et plus de 60 000 « coupons de musique codes". Le groupe a également annoncé que la sécurité de Sony était surmontée par une simple attaque par injection SQL.
Dans une déclaration, le groupe a déclaré: «SonyPictures.com possédait une injection SQL très simple, l'une des vulnérabilités les plus primitives et les plus courantes, comme nous devrions tous le savoir maintenant. À partir d'une seule injection, nous avons accédé à TOUT. Pourquoi accordez-vous une telle confiance à une entreprise qui s'autorise à s'ouvrir à ces simples attaques ?”
![Sony Pictures Online piraté à l'aide d'une vulnérabilité " primitive et commune", tweet de données non cryptées [News]](/f/58c411628fb1441da919cc77411dd861.jpg)
Le groupe a également déclaré: «Chaque bit de données que nous avons pris n'était pas crypté. Sony a stocké plus de 1 000 000 de mots de passe de ses clients en clair, ce qui signifie qu'il suffit de les saisir. C'est honteux et peu sûr: ils le demandaient.
Le groupe a publié une grande partie des données pillées, bien que celles-ci ne contiennent qu'une petite quantité des données compromises. Des bases de données complètes ont également été mises en ligne, ainsi qu'un document texte de mise en page de la base de données pour faciliter l'extraction des données. La base de données contient des combinaisons d'e-mails et de mots de passe militaires et gouvernementaux, ainsi que des comptes d'administrateur sur Sony Pictures Online.
![Sony Pictures Online piraté à l'aide de la vulnérabilité « primitive et commune », des versions de données non cryptées [Actualités]](/f/59566d9ee73897798188270a0a71a661.jpg)
L'extrait suivant est tiré du document « FILE CONTENTS.txt » qui accompagne la version limitée de LulzSec :
Contenu de notre pillage :
## Sony_Pictures_International_AUTOTRADER_USERS.txt ##– Dans ce fichier, vous trouverez un peu moins de 12 500 clients de Sony; cela inclut les dates de naissance, les adresses, les e-mails, les noms complets, les mots de passe, les identifiants d'utilisateur et les numéros de téléphone personnels.
## Sony_Pictures_International_BEAUTY_USERS.txt ##– Dans ce fichier, vous trouverez un peu moins de 21 000 clients de Sony; il s'agit d'un simple dépôt d'e-mail/mot de passe. Profitez de votre vol de compte.
## Sony_Pictures_International_COUPONS.txt ##– Dans ce fichier, vous trouverez un peu moins de 20 000 coupons de musique Sony; veuillez noter qu'il y a 3,5 millions de coupons à prendre - obtenez-les.
## Sony_Pictures_International_DELBOCA_USERS.txt ##– Dans ce fichier, vous trouverez un peu moins de 18 000 clients de Sony; il s'agit d'un simple dépôt d'e-mail/mot de passe. Encore une fois, profitez de votre vol.
## Sony_Pictures_International_MUSIC_CODES.txt ##– Dans ce fichier, vous trouverez un peu moins de 67 000 codes musicaux Sony; ils sont comme des aimants, nous n'avons tout simplement aucune idée de leur fonctionnement.
## Sony_Pictures_International_TABLE_LAYOUT.txt ##– Dans ce fichier, vous trouverez la mise en page de la base de données; cela signifie que vous pouvez facilement voir où voler des choses.
Notez que la base de données contient beaucoup plus d'informations utilisateur/coupons que nous n'en avons pris. Le fait est que nous en avions le contrôle; tous. Nous vous laissons faire le reste – volez autant que vous voulez, partez !
PROPRIÉTÉ SUPPLÉMENTAIRE :
## Sony_BMG_Music_Entertainment_NETHERLANDS ##– Ce fichier contient la base de données des utilisateurs de BMG Pays-Bas; il s'agit d'environ 600 noms d'utilisateur, e-mails et mots de passe. Prendre plaisir.
## Sony_BMG_Music_Entertainment_BELGIUM ##– Ce fichier contient la base de données admin Sony de BMG Belgium; aussi beaucoup de codes-barres, de dates de sortie et d'autres trucs juteux.
Le groupe était également responsable de plusieurs autres failles de sécurité récentes, notamment la dégradation du site Web du service public de radiodiffusion (PBS) et de Sony Music of Japan. Sony a reconnu les allégations et serait en train d'enquêter.
![Sony Pictures Online piraté à l'aide de la vulnérabilité " primitive et commune", torrent de données non cryptées [Actualités]](/f/acd222a5fb50b693e8132fab1b0694db.jpg)
Source: LulzSecurity.com / @LulzSec
Pensez-vous que vous pourriez faire un meilleur travail de sécurité? En colère contre Sony pour ne pas protéger vos informations? En colère contre les pirates informatiques pour l'avoir volé en premier lieu? Évacuez un peu de vapeur dans les commentaires ci-dessous!
Tim est un écrivain indépendant qui vit à Melbourne, en Australie. Vous pouvez le suivre sur Twitter.
