Eine 20-jährige Österreicher Penetrationstester behauptet, dass die Anmeldeinformationen des Sony Playstation Network-Nutzer, nicht sicher sein wegen eines blinden SQL-Injection-Schwachstelle in der Website. Aria Akhavan, erklärt, dass der Fehler können Angreifer sammeln Informationen aus der Kundendatenbank mit Hilfe von SQL-Abfragen lassen.
Blind-SQL-Injektionen sind ziemlich schwer zu Exploit
Eine blinde SQL-Injection ist nicht so einfach zu bedienen wie eine reguläre nutzen, weil die Informationen nicht direkt auf der Seite angezeigt. Eher, die Seite sendet eine Fehlermeldung zurück, und die Hacker haben auf true oder false Fragen per SQL-Anweisungen zu bitten, die Informationen aus der Datenbank abrufen.
Solche Angriffe benötigen mehr Zeit, um abgeschlossen werden, noch, der Prozess kann beschleunigt werden, wenn die Cyber-Kriminellen entscheiden, automatisierte Tools verwenden, wie sie die Verletzlichkeit und das Ziel zu identifizieren.
Akhavan teilten in einem Interview, dass das Unternehmen über die Panne im Oktober informiert worden, aber es gab keine Antwort, bis zum Ende des Monats. Der Forscher fügte hinzu, dass die Sicherheitslücke nicht zum Zeitpunkt des Interviews gepatcht. Die genaue Art der Informationen, die gesammelt werden können, ist nicht klar,, aber Anmeldedaten kann das geringste Problem sein.
Sony Datenpannen Hüllen Go Way Back
Akhavan hat bereits zahlreiche Unternehmen wie Avast und eBay über Sicherheitslücken, die sich leicht durch fragwürdige Dritte ausgenutzt werden können, warnte. Der Penetrationstester studiert seit Techniken, um Fehler für etwa fünf Jahren zu identifizieren. Er weigerte sich, zu teilen, welche Art von Gewinn er von den Meldelücken zu verschiedenen Firmen gemacht hatte.
Sony wurde von Cyber-Kriminellen ständig gezielt worden. Einer der frischen Beispielen ist die massive DDoS-Attacke vom Lizard Kader, die den Zugang zu Online-Spielunternehmensnetzwerk in mehreren Regionen der Welt blockiert. Obwohl DDoS-Angriffe sind nicht dazu gedacht, Daten zu stehlen, sie können von Cyberkriminellen ausgenutzt, um die Aufmerksamkeit von einem anderen Angriff, der für diesen Zweck ausgelegt werden kann abzulenken.
In 2011, Sony war ein Ziel zahlreicher Angriffe. Die Hackergruppe LulzSec hat Informationen wie E-Mails erfasst, Passwörter, Geburtsdaten, Privatadressen, etc. von mehr als einer Million Sony Pictures.com Clients. Das Outfit war eine einfache SQL-Injection-Schwachstelle ausgenutzt. Eine frühere PlayStation Network Angriff führte zwar zu dem Leck der finanziellen sowie persönliche Aufzeichnungen über 77 Millionen Kunden.
