En 20-årig østrigsk penetrationstester hævder, at prøvelse af brugernes Sony Playstation Network ikke kan være sikker på grund af en blind SQL injektion på hjemmesiden. Aria Akhavan forklarer, at fejlen kunne lade angriberne indsamle oplysninger fra kundedatabasen med hjælp af SQL-forespørgsler.
Blind SQL Injektioner er temmelig hårdt at Exploit
En blind SQL injection er ikke så nemt at udnytte som en almindelig en, fordi oplysningerne ikke er direkte vises på siden. Snarere, siden sender tilbage en fejlmeddelelse, og hackere nødt til at spørge sande eller falske spørgsmål via SQL-sætninger til at hente oplysninger fra databasen.
Sådanne angreb kræver mere tid for at være afsluttet, endnu, processen kan drønede op, hvis de cyberkriminelle beslutter at bruge automatiserede værktøjer, som de identificerer sårbarheden og målet.
Akhavan delt i et interview, at virksomheden er blevet informeret om glitch i oktober, men der var ingen svar indtil udgangen af den måned,. Forskeren tilføjede, at sårbarheden ikke er lappet på tidspunktet for interviewet. Den nøjagtige type oplysninger, der kan indsamles, er ikke klart, men log-in legitimationsoplysninger kan være den mindste af de problemer.
Sony bruddet Cases Gå Way Back
Akhavan har allerede advaret adskillige selskaber som Avast og eBay om sårbarheder, der let kan udnyttes af tvivlsomme tredjeparter. Den penetrationstester har studeret teknikker til at identificere fejl i omkring fem år. Han nægtede at fortælle, hvad slags fortjeneste, han havde lavet af rapportering sårbarheder til forskellige virksomheder.
Sony har været skydeskive for cyberkriminelle konstant. Et af de friske eksempler er den massive DDoS-angreb fra Lizard Squad, der blokerede adgangen til virksomhedens online spille-netværk i flere regioner i verden. Selv om DDoS-angreb ikke er beregnet til at stjæle data, de kan udnyttes af cyber kriminelle til at aflede opmærksomheden fra endnu et angreb, der kan være designet til dette formål.
I 2011, Sony var et mål for talrige angreb. Hacker-gruppen LulzSec har erhvervet oplysninger som emails, adgangskoder, fødselsdato, privatadresser, etc. af mere end en million Sony Pictures.com klienter. Outfit havde udnyttet en simpel SQL injektion fejl. En tidligere PlayStation Network angreb dog førte til udslip af såvel finansielle som personlige rekorder på ca. 77 millioner kunder.
