Már annyira mindennapos esemény, hogy az informatikai lapok lassanként rovatot nyithatnak a „Mai Sony-hack” címmel, ugyanis mára, június 5-ére is jutott egy: a közelmúlt sorozatát nézve ez a tizenharmadik olyan támadás, mely a Sony valamelyik weboldalát érte. Erről a mostaniról a Sophos biztonsági cég blogja számolt be, és az ott közölt információk szerint most nem egy csoport, hanem egyetlen hacker (cracker?) áll az akció mögött, aki a Sony Europe alkalmazásboltjának weboldalát megtörve jutott hozzá 120 rekordhoz a felhasználói adatbázisból (azonosítókhoz, jelszavakhoz, mobilszámokhoz, e-mailekhez).
A magát „Idahc-ként” megnevező behatoló több eddigi akcióhoz hasonlatosan egy standard SQL-injection típusú támadást hajtott végre, majd a sikeres adatlopást szinte azonnal közhírré is tette a Pastebin oldalán. E bejegyzésből kiderül, hogy a Sony Europe is plain text módon, vagyis titkosítás nélkül tárolta a személyes adatokat. A betörésről író Sophos-mérnök, Chester Wisniewski nem kevés malíciával jegyzi meg, hogy ha eddig nem tették meg, most már minden adatbázis-rendszergazdának (különösen a Sonynál) erősen ajánlott, hogy webes alkalmazásaikat azonnal teszteljék le SQL-sebezhetőségekre.
Idahc neve egyébként már ismerősen cseng a szakújságírók fülében, a Sonyról nem is beszélve, ugyanis a magát libanoniként jellemző aktivista volt az, aki nemrég a Sony Ericsson kanadai, e-kereskedelemmel foglalkozó weboldalát ugyancsak SQL-injection segítségével törte fel, onnan megszerzett felhasználói adatokat, és ezzel el is dicsekedett – igaz, „szürke kalaposként” ügyelt arra, hogy a komoly visszaélésre lehetőséget adó kártyaadatok és a telefonszámok ne kerüljenek nyilvánosságra.
Szerkesztőségi megjegyzés: a Sophos szakértőjének felháborodott és közben végtelenül ironikus írásában olvasható tömören egy olyan vélemény, mely nagyszerűen jellemzi a Sony körül kialakult helyzetet, és amelynek – ahogy az IT café fórumában e hírek kapcsán már többen is utaltak rá – messzebbre vezető tanulsága is van, érdemes azon elgondolkodni, hogy vajon a többi nagy multinacionális IT-cégnél mi a helyzet e téren: „SQL injection flaw? Check. Plain text passwords? Check. People’s personally identifiable information totally unprotected? Check.”
No comment.
Illetve mégis. Ha nem lenne ez a történet véresen komoly, akkor jól szórakozhatnánk a hacker lényegre törő és pontos, szellemes megjegyzésén: „I play the game of the year: hacker vs Sony”...
Frissítés: A Sony elismerte a támadást, de szerintük nem történt adatvesztés: „Az igaz, hogy illegálisan behatoltak a weboldalra, de a hacker által megszerezett adatok egyébként is elérhetőek voltak a vállalat honlapján” – jelentette be a cég szóvivője.
