Χάκερς χτύπησαν και τη "δική μας" Sony BMG!

24 Μαϊου 2011
Posted in Επικαιρότητα

Eίναι δύσκολο να καταλάβει κανείς πως μία τόσο μεγάλη εταιρία όπως η Sony έχει τόσο “διάτρητες” άμυνες, οι οποίες αποδείχθηκαν ανίκανες στο να αντιμετωπίσουν τις αδιάκοπες επιθέσεις των χάκερς. Από τον Απρίλιο η πολυεθνική και τα παρακλάδια της έχουν δει τις δύο μεγαλύτερές της βάσεις δεδομένων να υποκλέπτονται: Το PlayStation Network και τη βάση της SOE (Sony Online Entertainment).

Μόλις την προηγούμενη εβδομάδα έγινε μερική επαναφορά του PSN, το οποίο όμως και πάλι έκλεισε, μετά από άλλο ένα πρόβλημα που ανακαλύφθηκε στην άμυνά του.  Η ίδια η Ιαπωνική κυβέρνηση ανακοίνωσε πως δεν θα επιτρέψει τις online υπηρεσίες της Sony να επαναλειτουργήσουν εάν δεν βεβαιωθεί πως η προστασία των δεδομένων έχει βελτιωθεί.

Πάλι, λοιπόν, οι χάκερς συνέχισαν με τις επιθέσεις. Μόνο που αυτή τη φορά η εν λόγω προσβολή έγινε επί… «πατρίου εδάφους».

Κυκλοφόρησε στο διαδίκτυο η παραπάνω εικόνα της βάσης δεδομένων των χρηστών της Sony BMG Ελλάδας (η ιστοσελίδα -σήμερα 24 Μαΐου- είναι ακόμη ανενεργή...). Με την εικόνα ήρθαν και οι λοιπές πληροφορίες όπως ονόματα χρηστών, αντιστοιχία με πραγματικά ονόματα και διευθύνσεις ηλεκτρονικών ταχυδρομείων.

Μέρος της βάσης δεδομένων του αναρτήθηκε στο PasteBin.com από τον χάκερ "b4d_vipera" τα οποία περιλαμβάνουν 8.835 δεδομένα χρηστών όπως usernames, ονόματα και διευθύνσεις e-mail όσων έχουν γραφτεί στην ιστοσελίδα της Sony BMG Greece, ωστόσο άλλες εγγραφές όπως passwords ή τηλέφωνα δεν βρίσκονται στη δημοσιευμένη βάση. Η επίθεση φαίνεται πως έγινε στις 5 Μαΐου.  

Η εν λόγω εφόρμηση έγινε χρησιμοποιώντας ένα SQL Injection attack. Αυτή η μέθοδος πρωτοεμφανίστηκα στη δεκαετία του 1990 και χρησιμοποιείται συχνά-πυκνά για προσβολές σε οργανισμούς με πολλούς ιστότοπους. Ο επιτιθέμενος βρίσκει βάσεις δεδομένων SQL σε διάφορες διευθύνσεις του οργανισμού και μετέπειτα τις «δοκιμάζει» στέλνοντας συμβολοσειρές οι οποίες μπορούν να μεταχειριστούν λανθασμένα από τον SQL Interpreter (“μεταφραστής” SQL), επιτρέποντας έτσι στον χρήστη να μπορεί να στέλνει απαγορευμένες εντολές.

Δεν είναι, όμως, ξεκάθαρο εάν ο ιστότοπος της Sony BMG Ελλάδας ήταν αυτός με το πρόβλημα προστασίας ή εάν οι διαδικτυακοί χώροι άλλων παραρτημάτων της Sony σε άλλες χώρες μπορεί επίσης να έχουν το πρόβλημα.

Αρκετά ενδιαφέρουσες είναι και οι εκτιμήσεις ειδικών πως η Sony έχει κόστος -μέχρι τώρα- περίπου 24 δισεκατομμυρίων δολαρίων μόνο και μόνο από τα προβλήματα που έχουν δημιουργήσει οι επιθέσεις. Τέλος, η εταιρία βρίσκεται ακόμα σε δικαστικές διαμάχες με πρώην συνδρομητές οι οποίοι έχουν καταθέσει μηνύσεις ανά τον κόσμο.

Πηγές: protothema.gr / skai.gr / nakedsecurity.sophos.com