Sony è ancora nella bufera. Dopo le aggressioni sferrate nei confronti di “PlayStation Network” (ved. questi nostri articoli), che hanno costretto i tecnici del gigante nipponico a disattivare la piattaforma per un lungo periodo di tempo (tra il 20 aprile e metà maggio), questa volta nel mirino c’è “Sony Pictures“.
Il gruppo noto con l’appellativo di “LulzSec” ha infatti comunicato pubblicamente di aver violato molteplici siti web di proprietà di Sony Pictures, distributore e produttore televisivo-cinematografico facente parte del colosso giapponese Sony, mettendo le mani su informazioni personali (non crittografate) appartenenti ad oltre un milione di utenti.
In una nota pubblicata nelle scorse ore, i membri di “LulzSec” affermano di aver avuto gioco facile nel modificare i dettagli relativi agli account amministrativi (comprese le rispettive password) e di essersi trovati dinanzi a 75.000 “music code” (codici per il download di brani musicali) e 3,5 milioni di “coupon”. Il gruppo ha poi prodotto una lista dei siti web che sarebbero stati compromessi allegando degli esempi di materiale sottratto dai server di Sony Pictures.
“SonyPictures.com è stato violato utilizzando un semplice attacco SQL injection, una delle metodologie d’aggressione più comuni e più note“, ha dichiarato LulzSec. “Effettuando una singola SQL injection, siamo stati in grado di accedere a qualunque cosa“. Gli autori dell’attacco si sono meravigliati del fatto che ciascun singolo bit di dati sottratti dai server della società giapponese non fosse crittografato in alcun modo. “Sony ha memorizzato oltre 1 milione di password dei suoi clienti utilizzando testo in chiaro“.
Gli attacchi di tipo SQL injection si verificano quando un malintenzionato riesce ad inviare, con successo, query SQL arbitrarie ad una pagina web dinamica ospitata su un server web remoto, gestito da terzi (altre informazioni in questi articoli).
Jim Kennedy, Executive Vice President of Global Communications per Sony Pictures Entertainment, si è per il momento limitato a dichiarare come l’azienda stia verificando le asserzioni di LulzSec. Al momento, però, non si è ritenuto opportuno aggiungere null’altro.