Um testador de penetração austríaco de 20 anos afirma que as credenciais dos usuários da Sony Playstation Network podem não estar seguras devido a uma vulnerabilidade de injeção SQL cega no site. Aria Akhavan explica que o bug pode permitir que invasores coletem informações do banco de dados do cliente com a ajuda de consultas SQL.
Injeções de SQL cegas são bastante difíceis de explorar
Uma injeção de SQL cega não é tão fácil de explorar quanto uma normal porque as informações não são exibidas diretamente na página. Em vez, a página envia de volta uma mensagem de erro, e os hackers precisam fazer perguntas verdadeiras ou falsas por meio de instruções SQL para recuperar as informações do banco de dados.
Tais ataques exigem mais tempo para serem concluídos, ainda, o processo pode ser acelerado se os criminosos cibernéticos decidirem usar ferramentas automatizadas à medida que identificam a vulnerabilidade e o alvo.
Akhavan compartilhou em uma entrevista que a empresa foi informada sobre a falha em outubro, mas não houve resposta até o final do mês. O pesquisador acrescentou que a vulnerabilidade não foi corrigida no momento da entrevista. O tipo exato de informação que pode ser coletada não é claro, mas as credenciais de login podem ser o menor dos problemas.
Casos de violação de dados da Sony são muito antigos
Akhavan já alertou várias empresas como Avast e eBay sobre vulnerabilidades que podem ser facilmente exploradas por terceiros questionáveis. O testador de penetração tem estudado técnicas para identificar falhas por cerca de cinco anos. Ele se recusou a compartilhar o tipo de lucro que obteve ao relatar vulnerabilidades a diferentes empresas.
A Sony tem sido alvo de criminosos cibernéticos constantemente. Um dos novos exemplos é o ataque DDoS massivo pelo Lizard Squad que bloqueou o acesso à rede de jogos online da empresa em várias regiões do mundo. Embora os ataques DDoS não tenham como objetivo roubar dados, eles podem ser explorados por criminosos cibernéticos para desviar a atenção de outro ataque que pode ser projetado para essa finalidade.
No 2011, Sony foi alvo de inúmeros ataques. O grupo de hackers LulzSec adquiriu informações como e-mails, senhas, datas de nascimento, endereços residenciais, etc. de mais de um milhão de clientes Sony Pictures.com. O equipamento explorou uma simples falha de injeção de SQL. Um ataque anterior à PlayStation Network levou ao vazamento de registros financeiros e pessoais de cerca de 77 milhões de clientes.
