सोनी पिक्चर्स ऑनलाइन "आदिम और सामान्य" भेद्यता का उपयोग करके हैक किया गया, डेटा अनएन्क्रिप्टेड [समाचार]

विज्ञापन

गुरुवार शाम को, हैकर समूह "लुल्ज़सेक" ने ट्विटर के माध्यम से घोषणा की कि उन्होंने SonyPictures.com तक पहुंच प्राप्त कर ली है और 1 मिलियन से अधिक खाते, पासवर्ड और संवेदनशील उपयोगकर्ता जानकारी चुरा ली है। खबर के टूटने के कुछ समय बाद, समझौता किए गए डेटा की प्रतियां फाइलशेयरिंग वेबसाइटों (जैसे मीडियाफायर, जहां इसे हटा दिया गया था) और द पाइरेट बे सहित बिटटोरेंट ट्रैकर्स पर सामने आ रही थीं।

समूह ने घुसपैठ की पूरी सीमा का खुलासा करते हुए पेस्टबिन पर एक संदेश छोड़ा, जिसमें हजारों ईमेल और पासवर्ड संयोजन शामिल हैं, व्यक्तिगत जानकारी (नाम, पते, जन्म तिथि और फोन नंबर सहित), लगभग 3.5 मिलियन "संगीत कूपन" और 60,000 से अधिक "संगीत" कोड"। समूह ने यह भी घोषणा की कि सोनी की सुरक्षा एक साधारण एसक्यूएल इंजेक्शन हमले से दूर हो गई थी।

में एक बयान, समूह ने कहा: "SonyPictures.com का स्वामित्व एक बहुत ही सरल SQL इंजेक्शन के पास था, जो सबसे आदिम और सामान्य कमजोरियों में से एक था, जैसा कि हम सभी को अब तक पता होना चाहिए। एक इंजेक्शन से, हमने सब कुछ एक्सेस किया। आप एक ऐसी कंपनी में इतना विश्वास क्यों रखते हैं जो खुद को इन साधारण हमलों के लिए खुला होने देती है?”

समूह ने यह भी कहा: "हमारे द्वारा लिया गया प्रत्येक डेटा एन्क्रिप्ट नहीं किया गया था। सोनी ने अपने ग्राहकों के 1,000,000 से अधिक पासवर्ड प्लेन टेक्स्ट में संग्रहीत किए, जिसका अर्थ है कि यह केवल इसे लेने की बात है। यह शर्मनाक और असुरक्षित है: वे इसके लिए पूछ रहे थे।"

समूह ने लूटे गए अधिकांश डेटा को जारी किया है, हालांकि इनमें केवल थोड़ी मात्रा में समझौता किया गया डेटा होता है। डेटा की निकासी में सहायता के लिए डेटाबेस लेआउट टेक्स्ट दस्तावेज़ के साथ-साथ पूर्ण डेटाबेस भी ऑनलाइन पोस्ट किए गए हैं। डेटाबेस में सैन्य और सरकारी ईमेल और पासवर्ड संयोजन दोनों शामिल हैं, और सोनी पिक्चर्स ऑनलाइन के व्यवस्थापक खाते भी हैं।

निम्नलिखित अंश "FILE CONTENTS.txt" दस्तावेज़ से लिया गया है जो लुल्ज़सेक की सीमित रिलीज़ के साथ है:

हमारी लूट की सामग्री:
## Sony_Pictures_International_AUTOTRADER_USERS.txt ##– इस फाइल में आपको Sony के 12,500 से कम ग्राहक मिलेंगे; इसमें जन्मतिथि, पता, ईमेल, पूरा नाम, पासवर्ड, यूजर आईडी और व्यक्तिगत फोन नंबर शामिल हैं।
## Sony_Pictures_International_BEAUTY_USERS.txt ##– इस फाइल में आपको Sony के सिर्फ 21,000 ग्राहक मिलेंगे; यह एक साधारण ईमेल/पासवर्ड ड्रॉप है। अपने खाते की चोरी का आनंद लें।
## Sony_Pictures_International_COUPONS.txt ##– इस फाइल में आपको सोनी म्यूजिक के 20,000 कूपन मिलेंगे; कृपया ध्यान दें कि 3.5 मिलियन कूपन लेने हैं - उन्हें प्राप्त करें।
## Sony_Pictures_International_DELBOCA_USERS.txt ##– इस फाइल में आपको Sony के 18,000 से कम ग्राहक मिलेंगे; यह एक साधारण ईमेल/पासवर्ड ड्रॉप है। फिर से, अपनी चोरी का आनंद लें।
## Sony_Pictures_International_MUSIC_CODES.txt ##– इस फाइल में आपको सिर्फ 67,000 Sony म्यूजिक कोड मिलेंगे; वे चुम्बक की तरह हैं, हमें बस पता नहीं है कि वे कैसे काम करते हैं।
## Sony_Pictures_International_TABLE_LAYOUT.txt ##– इस फाइल में आपको डेटाबेस का लेआउट मिलेगा; इसका मतलब है कि आप आसानी से देख सकते हैं कि चीजें कहां से चुराई जाती हैं।
ध्यान दें कि डेटाबेस में हमारे द्वारा ली गई उपयोगकर्ता जानकारी/कूपन से कहीं अधिक है। बात यह है कि उन पर हमारा नियंत्रण था; उन सभी को। बाकी हम आप पर छोड़ते हैं - जितना चाहो चोरी करो, आगे बढ़ो!
अतिरिक्त स्वामित्व:
## Sony_BMG_Music_Entertainment_NETHERLANDS ##– इस फ़ाइल में BMG नीदरलैंड का उपयोगकर्ता डेटाबेस है; यह लगभग 600 उपयोगकर्ता नाम, ईमेल और पासवर्ड हैं। आनंद लेना।
## Sony_BMG_Music_Entertain_BELGIUM ##– इस फ़ाइल में BMG बेल्जियम का Sony व्यवस्थापक डेटाबेस है; बहुत सारे बारकोड, रिलीज की तारीखें, और अन्य रसदार बकवास।

समूह सार्वजनिक प्रसारण सेवा (पीबीएस) वेबसाइट और जापान के सोनी म्यूजिक के विरूपण सहित कई अन्य हालिया सुरक्षा उल्लंघनों के लिए भी जिम्मेदार था। सोनी ने दावों को स्वीकार कर लिया है और कहा जाता है कि वह जांच कर रहा है।

स्रोत: लुलजसिक्योरिटी.कॉम / @LulzSec
लगता है कि आप सुरक्षा का बेहतर काम कर सकते हैं? आपकी जानकारी की सुरक्षा न करने के लिए सोनी से नाराज़ हैं? पहली बार में इसे चोरी करने के लिए हैकर्स से नाराज़ हैं? नीचे टिप्पणी में कुछ भाप वेंट करें!