20歳のオーストリアの侵入テスターは、Sony Playstation Networkユーザーの資格情報は、WebサイトのブラインドSQLインジェクションの脆弱性のために安全ではない可能性があると主張しています. Aria Akhavanは、このバグにより、攻撃者がSQLクエリを使用して顧客データベースから情報を収集できる可能性があると説明しています。.
ブラインドSQLインジェクションは悪用するのがかなり難しい
ブラインドSQLインジェクションは、情報がページに直接表示されないため、通常のインジェクションほど簡単には利用できません。. それよりも, ページはエラーメッセージを送り返します, ハッカーは、データベースから情報を取得するために、SQLステートメントを介して真または偽の質問をする必要があります.
このような攻撃は、完了するまでにさらに時間がかかります, まだ, サイバー犯罪者が脆弱性と標的を特定するために自動化されたツールを使用することを決定した場合、プロセスはスピードアップする可能性があります.
Akhavanはインタビューで、同社は10月にグリッチについて知らされたと語った。, でも月末まで返事はありませんでした. 研究者は、インタビューの時点で脆弱性にパッチが適用されていないと付け加えました. 収集できる情報の正確な種類は明確ではありません, ただし、ログイン資格情報は問題の中で最も少ない可能性があります.
ソニーのデータ漏えい事件は過去にさかのぼる
Akhavanは、疑わしいサードパーティによって簡単に悪用される可能性のある脆弱性について、アバストやeBayなどの多くの企業にすでに警告しています。. ペネトレーションテスターは、約5年間、欠陥を特定するための手法を研究してきました。. 彼は、脆弱性をさまざまな企業に報告することでどのような利益を得たかを共有することを拒否しました.
ソニーは常にサイバー犯罪者の標的にされてきました. 新たな例の1つは、リザードスクワッドによる大規模なDDoS攻撃であり、世界のいくつかの地域で同社のオンラインプレイネットワークへのアクセスをブロックしました。. DDoS攻撃は、データを盗むことを目的としたものではありませんが, これらはサイバー犯罪者によって悪用され、この目的のために設計された可能性のある別の攻撃から注意をそらすことができます。.
の 2011, ソニーは多数の攻撃の標的でした. ハッカーグループLulzSecは、電子メールなどの情報を取得しました, パスワード, 生年月日, 自宅の住所, 等. 100万を超えるSonyPictures.comクライアントの. 衣装は単純なSQLインジェクションの欠陥を悪用していました. 以前のプレイステーションネットワークの攻撃は、財務および個人の記録の漏洩につながりましたが、 77 百万人の顧客.
