A 20-year-old penetration tester austriaco sostiene che le credenziali degli utenti Sony Playstation Network potrebbe non essere sicuro a causa di una vulnerabilità SQL injection cieca nel sito. Aria Akhavan spiega che il bug poteva lasciare aggressori raccolgono informazioni dal database dei clienti con l'aiuto di query SQL.
Iniezioni SQL ciechi sono piuttosto difficile da sfruttare
Una iniezione di SQL cieca non è così facile da sfruttare come un normale perché le informazioni non vengono visualizzate direttamente sulla pagina. Piuttosto, la pagina restituisce un messaggio di errore, e gli hacker devono chiedere vero o falso domande via le istruzioni SQL per recuperare le informazioni dal database.
Tali attacchi richiedono più tempo per essere completato, ancora, il processo può essere accelerato se i cyber criminali decidono di utilizzare strumenti automatici in quanto identificano la vulnerabilità e l'obiettivo.
Akhavan ha condiviso in un'intervista che la società è stata informata del problema tecnico nel mese di ottobre, ma non vi era alcuna risposta fino alla fine del mese. Il ricercatore aggiunto che la vulnerabilità non è stato aggiornato al momento del colloquio. L'esatto tipo di informazioni che possono essere raccolte non è chiaro, ma le credenziali di log-in può essere l'ultimo dei problemi.
Sony Dati Casi Violazione Vai Way Back
Akhavan ha già avvertito numerose aziende come Avast e eBay sulle vulnerabilità che possono essere facilmente sfruttate da discutibili terzi. Il tester di penetrazione sta studiando tecniche per identificare i difetti per circa cinque anni. Si è rifiutato di condividere ciò che tipo di profitto che aveva fatto da vulnerabilità di segnalazione alle società diverse.
Sony è stato preso di mira dai criminali informatici costantemente. Uno degli esempi freschi è il massiccio attacco DDoS dalla Lizard Squad che ha bloccato l'accesso alla rete di gioco online della società in diverse regioni del mondo. Anche se gli attacchi DDoS non sono destinate per rubare dati, che possono essere sfruttate dai criminali informatici per distogliere l'attenzione da un altro attacco che può essere progettato per questo scopo.
In 2011, Sony è stata un bersaglio di numerosi attacchi. Il gruppo di hacker LulzSec ha acquisito informazioni come messaggi di posta elettronica, password, date di nascita, indirizzi di casa, etc. di più di un milione di clienti Sony Pictures.com. La squadra aveva sfruttato una falla semplice iniezione SQL. Un precedente attacco PlayStation Network anche se ha portato alla perdita di risorse finanziarie e record personale di circa 77 milioni di clienti.
