A 20 años de edad, probador de la penetración de Austria afirma que las credenciales de los usuarios de Sony PlayStation Network podría no ser seguro debido a una vulnerabilidad de inyección SQL ciega en el sitio web. Aria Akhavan explica que el fallo podía dejar atacantes recogen información de la base de datos de clientes con la ayuda de consultas SQL.
Inyecciones SQL ciego son bastante difícil de Exploit
Una inyección SQL ciega no es tan fácil de explotar como una normal porque la información no se muestra directamente en la página. Más bien, la página devuelve un mensaje de error, y los hackers tienen que hacer preguntas de verdadero o falso a través de sentencias SQL para recuperar la información de la base de datos.
Tales ataques requieren más tiempo para ser completado, todavía, el proceso se puede acelerar si los criminales cibernéticos deciden utilizar herramientas automatizadas, ya que identifican la vulnerabilidad y el objetivo.
Akhavan compartió en una entrevista que la compañía ha sido informado sobre el fallo en octubre, pero no hubo respuesta hasta el final del mes. El investigador añadió que la vulnerabilidad no ha sido parcheado en el momento de la entrevista. El tipo exacto de información que se puede recoger no está claro, pero las credenciales de inicio de sesión puede ser el menor de los problemas.
Sony Data Breach Casos Ir Way Back
Akhavan ya ha advertido numerosas empresas como Avast y eBay sobre vulnerabilidades que pueden ser fácilmente explotados por cuestionables terceros. El probador de penetración ha estado estudiando técnicas para identificar fallas durante unos cinco años. Él se negó a compartir qué tipo de ganancias que había hecho de las vulnerabilidades de informes a diferentes empresas.
Sony ha sido blanco de los delincuentes cibernéticos constantemente. Uno de los ejemplos frescos es el ataque masivo DDoS por el Lagarto Squad que bloqueó el acceso a la red de juego online de la compañía en varias regiones del mundo. A pesar de los ataques DDoS no tienen el propósito de robar datos, que pueden ser explotados por los delincuentes cibernéticos para desviar la atención de otro ataque que puede ser diseñado para este propósito.
En 2011, Sony fue blanco de numerosos ataques. El grupo de hackers LulzSec ha adquirido información como mensajes de correo electrónico, contraseñas, fechas de nacimiento, domicilios, etc. de más de un millón de clientes de Sony Pictures.com. El equipo había explotado una falla simple inyección SQL. Un ataque a PlayStation Network antes aunque dio lugar a la fuga de recursos financieros, así como los registros personales de sobre 77 millones de clientes.