MilanoX

News & Eventi Eretici

Tweet storm

Loading...

Net Pet

Sony Hacked (again) for Laughs

| lunedì 6 giugno 2011

– by Dan –

Il gruppo hacker LulzSec dichiara di essersi impossessato dei dati personali di un milione di utenti di SonyPictures.com, incluse password, indirizzi email, indirizzo di casa, numeri di telefono e date di nascita. Sono stati compromessi anche 75mila music codes e 3,5 milioni di music coupons.

Lo scopo dell’attacco al sito giapponese è stato dimostrare che Sony non protegge adeguatamente la privacy dei suoi utenti, è infatti bastata una SQL injection, una chiamata al database del sito sonypictures.com effettuabile con un normale browser, per accedere interamente ai dati privati i quali erano conservati senza alcuna forma di tutela.

In altre parole Sony archivia i dati sensibili dei suoi clienti senza nessuna forma di crittografia. Tutte le password erano conservate in formato testo semplice, senza alcuna protezione. E come fidarsi di una compagnia che si lascia esposta in questo modo? Rincarano quelli di LulzSec nel loro “pretentious press statement

Sul sito di LulzSec si può trovare anche l’url, la stringa, da usare per ripetere l’attacco e verificare da sé la vulnerabilità del sito Sony; attenzione che anche se il gesto è semplice, viene considerato grave reato.

Nel gergo di Internet LOL significa “Lots Of Laughs” -un sacco di risate- e viene talvolta storpiato in lul, che al plurale fa lulz con la coolifying Z al posto della S. Mentre Sec sta per security, sicurezza.

LulzSec dichiara così già dal nome di volersi prendere gioco dei sistemi di sicurezza inefficaci, secondo la vecchia pratica hacker del testare un sistema (qualunque sistema, non solo informatico) per trovarne le falle ed esporle al pubblico, obbligando di fatto l’entità interessata a porvi rimedio e fornendo così un pubblico servizio.

La cosa non è troppo distante dai Leak (indiscrezioni trapelate) ai quali WikiLeaks ci ha abituato, con la differenza che le informazioni esposte sono state prelevate una terza parte e non sono state fornite dall’interno dell’azienda, ma l’azione si dirige verso il medesimo obiettivo: costruire una rete migliore e obbligare i Big players a rispettare gli altri utenti.

In questo caso non si chiede a Sony di essere trasparente, ma di proteggere la privacy dei suoi clienti in modo decente. Una SQL injection è infatti uno dei metodi più primitivi e comuni per verificare la vulnerabilità di un sito, e il fatto di essere così fragilmente esposta non fa certo onore a Sony, con l’incredibile aggravante per una ditta di quelle dimensioni di non usare alcuna forma di tutela crittografica.

“We are looking into these claims”, dichiara Sony attraverso le parole di Jim Kennedy, executive vice presidente di global communications for Sony Pictures Entertainment, che conferma di essere consapevole dell’avvenuto e di aver cominciato ad interessarsene. Ci si augura che con questo intenda porre rimedio ai suoi evidenti problemi e non solo denunciare l’avvenuto e cercare i colpevoli.

Citando V for Vendetta:

se cerchi un colpevole, guardati allo specchio”

Il pacco di dati trafugati oramai viaggia in rete (Torrent 6443601).
La Associated Press ha verificato, chiamando il numero di telefono di alcuni dei clienti Sony pubblicati, e ne assicura l’autenticità. Una signora di 84 anni del Minnesota ha confermato al telefono i suoi dati e la sua password, e ha detto che la cambierà subito. “Non ho paura”, ha aggiunto l’anziana signora, “non ho nulla che mi si possa rubare”.

Non è la prima volta che la recidiva Sony soffre un cyber-attacco, in aprile la rete Playstation e il Sony Online Entertainment network hanno perso informazioni relative a carte di credito ma Sony ha preferito non informare tempestivamente i suoi 100 milioni di clienti coinvolti e si è limitata invece ad interrompere i servizi, rimessi in piedi solo recentementente.
Secondo Sony, 77 milioni di account Playstation e Qriocity sono stati compromessi durante gli attacchi che si sono ripetuti in Grecia, Tailandia, Indonesia e al sito Sony-Ericsson Canadese. In maggio il sito greco Sony BMG’s era stato defacciato (ne sono stati cambiati i contenuti) usando lo stesso metodo di SQL injection.

Ad oggi il PlayStation Store rimane ancora inaccessibile in Corea del Sud, Giappone e Hong Kong.
Sony stima i danni in 14 miliardi di Yen (172 milioni di dollari) senza contare le cause legali per risarcimento danni.

Il collettivo LulzSec ha al suo attivo anche un attacco contro Fox.com, rilasciando migliaia di dati relativi agli aspiranti concorrenti del talent-show televisivo X-Factor. Ed ha anche recentemente attaccato PBS NewsHour, riuscendo a pubblicare sul sito del Network un falso articolo che affermava che il rapper Tupac fosse ancora vivo (è morto 15 anni fa), per protesta e risposta al documentario della PBS su WikiLeaks che avrebbe distorto la realtà evitando di raccontare le reali condizioni nelle quali vive l’ex soldato Bradley Manning, autore del Video-Leaks sulla guerra in Afghanistan e da allora imprigionato in USA.

LulzSec utilizza Twitter per informare/comunicare i prossimi arrembaggi.