Los problemas de seguridad de Sony persisten. Tras el robo de datos bancarios perpetrado contra Sony Online Entertainment, ahora le ha tocado el turno a Sony Pictures Entertainment. El grupo de hackers conocido como LulzSec se atribuye el robo de datos personales de un millón de usuarios de Sony Pictures Entertainment, la división de cine de Sony.
La fuente indica que la técnica empleada para el ataque ha sido la conocida como SQL injection. De esta forma han comprometido la información personal de más de 1.000.000 de usuarios, incluyendo contraseñas, direcciones de correo electrónico, direcciones postales y fechas de nacimiento.
También han podido acceder a detalles de la administración de Sony Pictures, incluidas las contraseñas, además de 75.000 “códigos de la música” y 3,5 millones de “cupones de la música”. Dice el grupo de hackers que no han robado más por falta de tiempo y escasez de recursos.
Los autores de la acción critican la seguridad de Sony, ya que han podido acceder a sus bases de datos mediante una inyección simple de código SQL,
Una de las las vulnerabilidades más primitivas y comunes, que todos deberíamos saber a estas alturas
Por una sola inyección, se accede a TODO. ¿Por qué poner tanta fe en una compañía vulnerable a estos ataques simples?
Sony ha almacenado más de 1.000.000 de contraseñas en texto plano
LulzSec se jacta también de haber atacado con éxito las bases de datos de Sony BMG de Bélgica y Holanda. No tengo constancia de que Sony se haya pronunciado al respecto, pero de ser cierta la información en todos sus términos, estamos ante un caso de dejadez extrema por parte de la compañía.
Ver 31 comentarios
31 comentarios
Eduardo Cedillo Martínez
Tal vez no sea correcto, pero me alegra el ver que un grupo pequeño de personas puede poner en jaque a una empresa tan grande, me hace sentir que no tenemos que reprimirnos a los deseos de las grandes corporaciones y podemos hacer algo al respecto.
mcj
Es que madre mía, hay errores y errores. Esta claro que el tema informática desde el punto de vista de la seguridad no esta muy bien tratado por Sony, aunque seguro que hay muchas más empresas en esa situación.
Estos lodos vienen por como mucha gente trata a la informática como solo para frikis y que mi sobrino puede hacerlo que se monta el ordenador solo, para que voy a contratar a un informático cualificado. Luego viene el desastre. Pues como con todo en la vida, se pueden cometer errores pero si tienes a gente suficientemente cualificada, se minimizan.
La informática es una profesión señores, donde se debe pagar a la gente por un servicio, no llamar a un tipo o a tu sobrino para que te lo haga gratis.
fenixete
Señores, no hablamos de "un fallo de seguridad" sino más bien de un "soy guay y paso de todos los manuales de seguridad". Analicemos...
Primero, SQL inyección... Una instrucción, addslashes() de php lo soluciona, o la función mysqli_real_escape_string()... vamos, una instrucción, no ponerla, para mí, seria justificación de despido FULMINANTE.
Después, vamos a las contraseñas... Hoy en día coges drupal, wordpress o joomla (Los 3 CMS más comunes de internet, con miles de millones de webs usándolos) y te codifican la contraseña en MD5 como mínimo.
Después, si no usas un CMS pues es añadir md5() en php. Y ale, contraseñas codificadas. Si eso, como md5 está roto desde 2004 (http://www.securitybydefault.com/2011/06/ciclo-de-vida-de-los-algoritmos-de.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+SecurityByDefault+%28Security+By+Default%29) se puede usar sha2 o combinaciones de ellos, consiguiendo con 2 o 3 funciones de menos de 5 letras una seguridad muy fuerte.
En resumen, hay gente que Sony que no tiene NI IDEA, PERO NI LO MAS MINIMO.
Recomiendo a todo el mundo que saque sus cuentas del banco de cualquier servicio de Sony, que usen contraseñas exclusivas para sus servicios y que por supuesto, no de datos sensibles a Sony. Ha quedado demostrado que la infraestructura de servidores que usa hoy NO ES SEGURA, PERO NADA. Si no os fiais coged cualquier manual o tutorial de seguridad en servidores y veréis que se ha pasado por la torera todo lo que dicen.
Es que sinceramente, no me cabe en la cabeza que cualquier persona con más de una semana de experiencia administrando servidores / creando webs no codifique las contraseñas.
pastoreo
Lo que preocupa no son estos ataques con bombos y platillos, ya que los afectados al enterarse pueden hacer algo con sus tarjetas, lo que si son preocupantes son los robos de los crackers que no se divulgan, ya que el atacante hace uso efectivo de lo sustraido y la compañía no lo divulga para no mostrar su ineficiencia.
lmxcraft
Talvez Sony usa Linux o Unix en sus servidores y creyó que con eso era suficiente.
jorge5433
Creo que Sony no es la única que cuenta con medidas de seguridad penosas, pero como es una gran internacional ahora van todos contra ella. Creo que debería hacer revisiones extremas de la seguridad en todas sus divisiones para tratar de parar esta oleada de ataques si no quieren seguir perdiendo la confianza a grandes pasos.
ikkipower1984
Como se están cebando con sony... que filón han encontrado... aunque estoy convencido que con muchas otras compañías podrían hacer lo mismo, lo que pasa que impacta ver en jaque una empresa de tal magnitud
Djinn Hache
Pero a quién coño se le ocurre?? Y no sólo eso.. más de un mes arreglando todo, diseñando la seguridad desde cero y no encriptan una mierda y se dejan inyectar sql... ¬¬
s22
Impacta muchisimo que Sony en 2011 tenga tales agujeros de seguridad, parece imposible.
electron222
"Dice el grupo de hackers que no han robado más por falta de tiempo y escasez de recursos" EPIC
Quien sabe las potencias que someten a otras naciones, con su poder militar, económico y político, el día de mañana caigan con algunos click
byhanzo
Lo que yo me pregunto es como una empresa como Sony puede guardar los datos de sus clientes sin ningún tipo de encriptación o codificación, vamos, que los han almacenado como pone en el artículo en texto plano... y quedarse tan ancha...
Además me pregunto como es que aún no están protegidos contra inyecciones SQL... hasta mi blog personal lo tengo protegido contra estos ataques... Como diría Mourinho, no entiendo por qué...
En fin, que Sony, hasta que no se ha tropezado no ha empezado a ver los múltiples problemas de seguridad que ya le advirtieron, hace un tiempo, que tenía.
sergio_alonso
Es absolutamente demencial que un ladrón se jacte de su robo. "Es que la clave de la caja fuerte es fácil". Puede ser, pero eso no te hace menos ladrón.