Los problemas de seguridad de Sony persisten. Tras el robo de datos bancarios perpetrado contra Sony Online Entertainment, ahora le ha tocado el turno a Sony Pictures Entertainment. El grupo de hackers conocido como LulzSec se atribuye el robo de datos personales de un millón de usuarios de Sony Pictures Entertainment, la división de cine de Sony.
La fuente indica que la técnica empleada para el ataque ha sido la conocida como SQL injection. De esta forma han comprometido la información personal de más de 1.000.000 de usuarios, incluyendo contraseñas, direcciones de correo electrónico, direcciones postales y fechas de nacimiento.
También han podido acceder a detalles de la administración de Sony Pictures, incluidas las contraseñas, además de 75.000 “códigos de la música” y 3,5 millones de “cupones de la música”. Dice el grupo de hackers que no han robado más por falta de tiempo y escasez de recursos.
Los autores de la acción critican la seguridad de Sony, ya que han podido acceder a sus bases de datos mediante una inyección simple de código SQL,
Una de las las vulnerabilidades más primitivas y comunes, que todos deberíamos saber a estas alturas
Por una sola inyección, se accede a TODO. ¿Por qué poner tanta fe en una compañía vulnerable a estos ataques simples?
Sony ha almacenado más de 1.000.000 de contraseñas en texto plano
LulzSec se jacta también de haber atacado con éxito las bases de datos de Sony BMG de Bélgica y Holanda. No tengo constancia de que Sony se haya pronunciado al respecto, pero de ser cierta la información en todos sus términos, estamos ante un caso de dejadez extrema por parte de la compañía.
Comentarios
Como se están cebando con sony... que filón han encontrado... aunque estoy convencido que con muchas otras compañías podrían hacer lo mismo, lo que pasa que impacta ver en jaque una empresa de tal magnitud
interesante
Es que madre mía, hay errores y errores. Esta claro que el tema informática desde el punto de vista de la seguridad no esta muy bien tratado por Sony, aunque seguro que hay muchas más empresas en esa situación.
Estos lodos vienen por como mucha gente trata a la informática como solo para frikis y que mi sobrino puede hacerlo que se monta el ordenador solo, para que voy a contratar a un informático cualificado. Luego viene el desastre. Pues como con todo en la vida, se pueden cometer errores pero si tienes a gente suficientemente cualificada, se minimizan.
La informática es una profesión señores, donde se debe pagar a la gente por un servicio, no llamar a un tipo o a tu sobrino para que te lo haga gratis.
-- editado por última vez a las 12:06
5 Comentario moderado
50Esperemos que aprendan, por su bien más que nada.
P.D.: No te preocupes seguiré diciendo, bueno seguro que con tu sobrino te irá bien. No quisiera ser el culpable de mermar tus ingresos.
-- editado por última vez a las 13:58
Pues si la teoria es muy bonita,pero en la practica te sorprenderia el desastre que es.Te lo digo de primera mano.Donde estoy trabajando yo tenemos un mooooooooooooooooooonton de completos inutiles programando codigos de "seguridad" en java y javascript para los bancos mas grandes a nivel mundial.Estoy hablando tambien de "administradores" que intentan acceder a servidores Uinix via Terminal Server y que cobran mas de 400000€. Todos los santos dias hay ataques y robos de tarjetas y no se hace absulutamente nada.Menos mal que esta la maquinita para denegar las operaciones si no...En fin gente que no esta cualificada para estas cosas trabajando y asi estamos con un 75% de enchufe.Si estan asi los bancos imaginaos Sony y compania...
29 Comentario moderado
10Se les llama pringaos informáticos, y efectivamente hacen lo que les pidas.
Yo fui uno de ellos.
Creo que Sony no es la única que cuenta con medidas de seguridad penosas, pero como es una gran internacional ahora van todos contra ella. Creo que debería hacer revisiones extremas de la seguridad en todas sus divisiones para tratar de parar esta oleada de ataques si no quieren seguir perdiendo la confianza a grandes pasos.
también hay que puntualizar que no hay ningún programa 100% seguro... con lo cual todo el mundo es susceptible de un ataque... Lo que pasa es que se han de poner muchas medidas de seguridad para que sea muy complicado que pase...
interesante
No es escusa, porque una cosa es que no exista sistema 100% seguro, y otra muy diferente es ALMACENAR CONTRASEÑAS SIN CIFRAR.
Informaticamente hablando no cifrar las contraseñas es como historicamente no saber que exisitió el imperio romano, gramaticalmente escribir haber sin H y con V, o matematicamente no saberse la tabla del dos.
Así de grande es la burrada que ha hecho sony.
-- editado por última vez a las 12:51
por eso mismo te lo digo... .xD
No digas cosas sin saber, las contraseñas no estaban cifradas, porque? pues por una simple razon, estaban hasheadas que es mejor. A partir de una contraseña hasehada no se puede obtener la original. Lo que se hace es que cuando el usuario introduce la contraseña, se utiliza una funcion de hash, entonces se compara su resultado con la guardada en el servidor. Si coinciden se inicia sesión, sino no. Desde algo hasheado no se puede obtener el original. Luego depende de lo buena que sea esta funcion que haseha, 2 contraseñas podrían llegar a provocar una colisión, es decir, 2 contraseñas diferentes provocarían un mismo hash. Lo de cambiar contraseñas fue una simple medida de seguridad, pero vamos, en sí con una contraseña hasheada no haces nada. No se si os sonará la identificación md5 de archivos, es como un identificador teóricamente único que te dice si un archivo es exactamente igual como el original. A través de ese identificador está claro que no puedes obtener el archivo original, pues con las contraseñas pasa lo mismo. Lo de cambiar las contraseñas fue una simple medida de seguridad añadida, pero vamos que ni se hubiera necesitado. Para mas información el md5 se desechó hace bastante debido a que provocaba demasiadas colisiones, es decir, las posibilidads de que 2 archivos diferentes den el mismo identificador.
Epic Coment!!!
Se perfectamente lo que es un hash, soy desarrollador web, y yo uso sha1 por cierto :) . A eso me refiero yo cuando digo cifradas, no a que se almacene de forma que se pueda desencriptar. Si dicen han obtenido las contraseñas, es que no estaban, estaban almacenada en texto plano. Que no tengo ni idea de lo que es que realmente ha pasado, pero de texto de la noticia, lo que se entiende es eso, que estaban guardadas en la BBDD como un dato más.
Para qué leernos la noticia, ¿verdad?
-- editado por última vez a las 21:31
Pero a quién coño se le ocurre?? Y no sólo eso.. más de un mes arreglando todo, diseñando la seguridad desde cero y no encriptan una mierda y se dejan inyectar sql... ¬¬
Señores, no hablamos de "un fallo de seguridad" sino más bien de un "soy guay y paso de todos los manuales de seguridad". Analicemos...
Primero, SQL inyección... Una instrucción, addslashes() de php lo soluciona, o la función mysqli_real_escape_string()... vamos, una instrucción, no ponerla, para mí, seria justificación de despido FULMINANTE.
Después, vamos a las contraseñas... Hoy en día coges drupal, wordpress o joomla (Los 3 CMS más comunes de internet, con miles de millones de webs usándolos) y te codifican la contraseña en MD5 como mínimo.
Después, si no usas un CMS pues es añadir md5() en php. Y ale, contraseñas codificadas. Si eso, como md5 está roto desde 2004 (http://www.securitybydefault.com/2011/06/ciclo-de-vida-de-los-algoritmos-de.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+SecurityByDefault+%28Security+By+Default%29) se puede usar sha2 o combinaciones de ellos, consiguiendo con 2 o 3 funciones de menos de 5 letras una seguridad muy fuerte.
En resumen, hay gente que Sony que no tiene NI IDEA, PERO NI LO MAS MINIMO.
Recomiendo a todo el mundo que saque sus cuentas del banco de cualquier servicio de Sony, que usen contraseñas exclusivas para sus servicios y que por supuesto, no de datos sensibles a Sony. Ha quedado demostrado que la infraestructura de servidores que usa hoy NO ES SEGURA, PERO NADA. Si no os fiais coged cualquier manual o tutorial de seguridad en servidores y veréis que se ha pasado por la torera todo lo que dicen.
Es que sinceramente, no me cabe en la cabeza que cualquier persona con más de una semana de experiencia administrando servidores / creando webs no codifique las contraseñas.
Es absolutamente demencial que un ladrón se jacte de su robo. "Es que la clave de la caja fuerte es fácil". Puede ser, pero eso no te hace menos ladrón.
interesante
Al contrario. Si lo mas probable es que al ladrón el botín le importe un pepino. Lo que quiere el ladrón es demostrar de lo que es capaz y demostrar la nula seguridad de los servidores de Sony.
Pues ya lo han demostrado, que les den un pin y se dejen de molestar.
"Quién roba al ladrón, tiene 100 años de perdón".
Sony en muchísimos aspectos no es ni la sombra de lo que fue. Aunque su tamaño de mercado y negocio digan lo contrario. Los que tenemos unos añitos, lo sabemos bien.
¿O acaso no venden mierda de hoy a precio de calidad y "made in Japan"? Que antaño Sony también era cara en muchísimas cosas por no decir todo... pero se justificaba con una calidad más que decente por no decir soberbia.
Pero en fin, ya se sabe... hay "ladrones ilegales" y "ladrones legalizados" y a los que encima se les pasa la mano por el lomo.
Se les han colado porque se están ahorrando muchos duros en donde no deben. Duros que cobran a sus clientes igualmente. Vamos, más claro agua. Y lo digo yo desde que ya a mediados de los 90 curiosamente varios aparatos de sonido Sony portátiles morían y daba la lata de forma muy temprano en el mando del volumen... curiosamente, cuando Sony comenzaba a trasladar brutalmente producción a fuera de Japón a bajo coste. Pero el precio seguía siendo el mismo.
Insultar para dar compasión no me parece lo correcto. Saben muy bien lo que se hacen. Pero cuando les saltan las arandelas, bien que se le echa la culpa "al otro". O incluso ya no tienen ni que hacerlo, el adoctrinamiento hace el resto.
Me alegro en la parte que me toca de que no soy ninguno de esos millones de usuarios de estos ataques a Sony. Porque vaya tela.
EDITO_____
En otro orden de cosas añado que Sony, con el negocio que tiene, también está detrás de llevar adelante cosas "tan buenas" y "tan honestas" como ACTA. Y nos afecta más de lo que te crees... no miran por tus derechos ni libertades francamente. Y de respetarte/respetarnos mejor ni hablamos.
-- editado por última vez a las 19:17
Lo que preocupa no son estos ataques con bombos y platillos, ya que los afectados al enterarse pueden hacer algo con sus tarjetas, lo que si son preocupantes son los robos de los crackers que no se divulgan, ya que el atacante hace uso efectivo de lo sustraido y la compañía no lo divulga para no mostrar su ineficiencia.
-- editado por última vez a las 13:59
"Dice el grupo de hackers que no han robado más por falta de tiempo y escasez de recursos" EPIC
Quien sabe las potencias que someten a otras naciones, con su poder militar, económico y político, el día de mañana caigan con algunos click
Impacta muchisimo que Sony en 2011 tenga tales agujeros de seguridad, parece imposible.
interesante
Tal vez no sea correcto, pero me alegra el ver que un grupo pequeño de personas puede poner en jaque a una empresa tan grande, me hace sentir que no tenemos que reprimirnos a los deseos de las grandes corporaciones y podemos hacer algo al respecto.
19 Comentario moderado
40Eso te lo creo, pero más grandes que Sony lo dudo.
Talvez Sony usa Linux o Unix en sus servidores y creyó que con eso era suficiente.
Lo que yo me pregunto es como una empresa como Sony puede guardar los datos de sus clientes sin ningún tipo de encriptación o codificación, vamos, que los han almacenado como pone en el artículo en texto plano... y quedarse tan ancha...
Además me pregunto como es que aún no están protegidos contra inyecciones SQL... hasta mi blog personal lo tengo protegido contra estos ataques... Como diría Mourinho, no entiendo por qué...
En fin, que Sony, hasta que no se ha tropezado no ha empezado a ver los múltiples problemas de seguridad que ya le advirtieron, hace un tiempo, que tenía.
-- editado por última vez a las 17:07
Primero no entiendo por que se me vota negativo, no he dicho nada malo ni en contra de nadie, solo expresaba mi desconocimiento de los motivos para hacer las cosas tan mal en una empresa tan importante como lo es Sony.
Y segundo no entiendo por qué se me borra el comentario echo anteriormente (contesté a un comentario que respondía al usuario LMXCraft) donde solo decía el SO que utilizaban los servidores de Sony y de donde había sacado dicha información. (De esto último pido explicaciones al autor ya que entiendo que ha sido él quien lo ha borrado).
-- editado por última vez a las 20:42
Escribir un comentario
Para hacer un comentario es necesario que te identifiques: ENTRA o conéctate con FacebookConnect