Een 20-jarige Oostenrijkse penetratie tester beweert dat de geloofsbrieven van Sony Playstation Network-gebruikers niet veilig zou zijn als gevolg van een blind SQL injection kwetsbaarheid in de website. Aria Akhavan legt uit dat de bug kon laten aanvallers verzamelen informatie van het klantenbestand met behulp van SQL-query's.
Blind SQL injecties zijn nogal moeilijk te Exploit
Een blind SQL-injectie is niet zo eenvoudig om te exploiteren als een gewone één omdat de informatie niet direct weergegeven op de pagina. Tamelijk, de pagina stuurt een foutmelding terug, en de hackers hebben om waar of onwaar vragen via SQL-instructies te vragen om de informatie uit de database te halen.
Dergelijke aanvallen meer tijd om te worden voltooid, nog, het proces kan worden versneld als de cyber criminelen besluiten om geautomatiseerde hulpmiddelen te gebruiken als ze het identificeren van de kwetsbaarheid en het doel.
Akhavan gedeeld in een interview dat het bedrijf is geïnformeerd over de glitch in oktober, maar er was geen reactie tot het einde van de maand. De onderzoeker voegde eraan toe dat de kwetsbaarheid niet is gepatcht ten tijde van het interview. De exacte aard van de informatie die kan worden verzameld is niet duidelijk, maar inloggen geloofsbrieven kan de minste van de problemen te zijn.
Sony datalek Cases Ga Way Back
Akhavan heeft al gewaarschuwd voor tal van bedrijven zoals Avast en eBay over kwetsbaarheden die gemakkelijk kan worden uitgebuit door bedenkelijke derden. De penetratie tester is het bestuderen van technieken om fouten te identificeren voor ongeveer vijf jaar. Hij weigerde om te delen wat voor winst die hij uit de rapportage kwetsbaarheden aan verschillende bedrijven had gemaakt.
Sony is het doelwit van cybercriminelen voortdurend. Een van de verse voorbeelden is de massale DDoS-aanval door de Lizard Squad die de toegang tot online spelen netwerk van het bedrijf geblokkeerd in verschillende delen van de wereld. Hoewel DDoS-aanvallen zijn niet bedoeld om gegevens te stelen, ze kunnen worden uitgebuit door cybercriminelen om de aandacht af te leiden van een andere aanval die kan worden ontworpen voor dit doel.
In 2011, Sony was een doelwit van talrijke aanslagen. De hacker groep LulzSec heeft informatie zoals e-mails verworven, wachtwoorden, geboortedata, huisadressen, etc. van meer dan één miljoen Sony Pictures.com klanten. De outfit was een eenvoudige SQL-injectie lek uitgebuit. Een eerdere PlayStation Network aanval al geleid tot het lekken van financiële en persoonlijke gegevens van ongeveer 77 miljoen klanten.