Hacker knacken Datenbank von Sony Pictures

Dieses Thema im Forum "Netzwelt" wurde erstellt von Alex², 3. Juni 2011 .

  1. 3. Juni 2011
    Hacktivisten knacken Datenbank von Sony Pictures

    Medienwirksam verkündeten die Hacktivisten von LulzSec am gestrigen Donnerstagabend kurz nach 22 Uhr bei Twitter, dass es ihnen gelungen ist, die Website von Sony Pictures zu kompromittieren. Die Hacker hatten nach eigenen Angaben Zugriff auf die persönlichen Daten von Administratoren und über einer Million Nutzern, darunter Anschriften, Telefonnummern, Mailadressen und Passwörter – die Sony offenbar ungeschützt im Klartext gespeichert hat. Als Beweis haben die Hacker zehntausende Datensätze für jedermann zugänglich ins Internet gestellt.

    Zudem hatte LulzSec Zugriff auf über 3,5 Millionen Gutscheincodes sowie die Datenbanken der niederländischen und belgischen Niederlassungen von SonyBMG. Nach eigenen Angaben hat die Hackergruppe "aus Ressourcengründen" keine vollständige Kopie der Datenbanken gezogen, auf die sie Zugriff hatten. Dies hätte laut LulzSec noch einige Wochen in Anspruch genommen. Der Einbruch gelang durch eine ordinäre SQL-Injection-Lücke auf der Webseite zum Film Ghostbusters.

    Die Hacker haben zuvor bereits Auszüge aus der Datenbank von Sony Music Japan veröffentlicht und übernehmen auch die Verantwortung für die Einbrüche bei den US-Fernsehsendern Fox und PBS. Als Sprachrohr nutzt LulzSec stets den Microblogging-Dienst Twitter. Hier haben sie schon vor Tagen die Veröffentlichung der Sony-Daten angekündigt. Dies wirft die Frage auf, ob der Microblogging-Dienst auf eine derartige Ankündigungen nicht hätte reagieren müssen – etwa durch eine Stilllegung des Accounts.

    Sony ist ein beliebtes Angriffsziel von Netzaktivisten, seitdem der Elektronikriese im Januar dieses Jahres juristisch gegen den PS3-Hacker George Hotz vorgegangen ist. Die beiden Parteien haben sich im April außergerichtlich geeinigt, doch die Angriffe gehen weiter. Wer für den spektakulären Einbruch in das PlayStation Network verantwortlich ist, weiter unklar. Ende April haben Unbekannte hier die Daten von über 100 Millionen Kunden entwendet.

    Als Nutzer kann man sich nur schützen, indem man weiterhin den Grundsatz befolgt, auf jeder Webseite ein anderes Passwort zu nutzen. Sollten einmal Benutzername und Passwort in die falschen Hände geraten, kann sich ein Datendieb mit den gestohlenen Daten dann wenigstens nicht auch noch auf anderen Seiten wie etwa beim Webmail-Anbieter oder Facebook einloggen.

    Quelle: Hacktivisten knacken Datenbank von Sony Pictures | heise Security


    Langsam beginne ich ernsthaft an der Kompetenz von Sony in Sachen IT-Sicherheit zu zweifeln. Scheinbar haben sie da etwas angefangen, dass nicht zu gewinnen ist.
     
  2. 3. Juni 2011
    AW: Hacktivisten knacken Datenbank von Sony Pictures

    Wieso zahlt so ein Konzern wie Sony was in IT-Sicherheit?
    Wen sich die Kundendaten danach immer noch im Plain-Text speichern :angry:.
    Das sie dagegen noch nicht mal was unternehmen.
    Machen sie weiter als wäre nie was passiert.
    Anstatt paar Sicherheitschecks durchzuführen.
     
  3. 3. Juni 2011
    AW: Hacktivisten knacken Datenbank von Sony Pictures

    Was sollen sie denn tun ?

    Ein Unternehmen KANN sich einfach nicht gegen so eine Massen an, ich sage mal, ELITE-Hackern wehren. Die finden IMMER eine Lücke.
     
  4. 3. Juni 2011
    AW: Hacktivisten knacken Datenbank von Sony Pictures

    Es kann sich natürlich nicht gegen jedweden Angriff wehren, aber sensible Daten als Plaintext zu speichern ist einfach nur fahrlässig.
     
  5. 3. Juni 2011
    AW: Hacktivisten knacken Datenbank von Sony Pictures

    Minimal schwerer machen könnte man es ihnen schon. Bzw. könnte man die Passwörter der Nutzer wenigstens verschlüsseln und nicht einfach dumpf in Klartext speichern, das ist echt peinlich.
    Es gibt genug als sicher eingestufte Algorithmen, so wärs ja nicht....
     
  6. 3. Juni 2011
    AW: Hacktivisten knacken Datenbank von Sony Pictures

    Right!
    Zum Thema Algorhytmus.... das würde die Prozedur vielleicht geringfügig verzögern, denn wie Inragee schon sagte es gibt immer und überall Lücken und da kann auch ein Milliardenschwerer Konzern nichts gegen tun.
     
  7. 3. Juni 2011
    AW: Hacktivisten knacken Datenbank von Sony Pictures

    Ich bin der Meinung ein Milliardenkonzern kann sich schon gegen ordinäre SQL Lücken und unverschlüsseltes Passwortspeichern schützen, selbst wenn sowas nur eine Frage der Zeit ist, müssen solche Gegenmaßnahmen getroffen werden.

    Durch solche Aktionen verlieren sicher einige IT "Spezialisten" ihren Job, sowas ist einfach nur peinlich.

    Bei der PSN Network Sache konnte ich ja noch drüber hinwegsehen, aber direkt wieder so eine Bombe ? Naja..
     
  8. 3. Juni 2011
    AW: Hacktivisten knacken Datenbank von Sony Pictures

    Da tägliche neue Exploits rauskommen ist es logisch, dass einige davon auch auf Websites größerer Unternehmen zutreffen und dementsprechend das Scheunentor aufstoßen.
    Wie Sony die Daten speichert ist vlt eine andere Sache aber das sie reinkommen wundert ja wohl keinen mehr
     
  9. 3. Juni 2011
    AW: Hacktivisten knacken Datenbank von Sony Pictures

    naja, nicht unbedingt. Natürlich ist das System dann noch unsicher und man kann eindringen, aber die eigentlich wichtigen Daten kann man schützen, nämlich die Passwörter der Kunden z.b.
    und RSA ist noch immer nicht geknackt und ist rein mathematisch auch eigtl. (fast?)unmöglich zu knacken.
    Nos ist doch hier im Forum der Spezialist, vielleicht kann der uns da noch einige Informationen geben oder uns aufklären
     
  10. 3. Juni 2011
    AW: Hacktivisten knacken Datenbank von Sony Pictures

    ich frage mich was sich Sony in der Vergangenheit für Fehler geleistet haben muss, damit man so extrem von hackern angegriffen wird?

    Ich meine aus Spaß wird das Ganze sicher nicht passieren, oder weil die Hacker langeweile haben. Das ist ein Cyber-Krieg und der muss einer der beiden irgendwie angefangen haben und ich wüsste nur zu gern wieso.
     
  11. 3. Juni 2011
    AW: Hacktivisten knacken Datenbank von Sony Pictures

    Stichwort: Geohot

    Die Attacken scheinen dort ihren Ursprung zu haben, Geohot hat einige Sony Systeme geknackt und Codes im Internet veröffentlicht, danach kam es zur Anklage seitens Sony, am Ende gab es zwar eine Einigung, aber die Hackergemeinde hat Sony den Krieg "erklärt".
     
  12. 3. Juni 2011
    AW: Hacktivisten knacken Datenbank von Sony Pictures

    Die Lücke war aber wohl schon längst bekannt (laut LulzSec). Eine Lücke ist aber etwas anderes als die Daten unverschlüsselt lassen

    Also es ist nie bestätigt aber GeoHot hat die PS3 gehacked und Sony hat ihn dafür verklagt. Sony hat daraufhin die Rechte schon eher misbraucht wie alle Logindaten seiner Homepage, alle Emailadressen seiner Spender via PayPal, alle seine Rechner und Massenspeicher etc obwohl es an sich eigtl nichts mit dem Hacken der PS3 selbst zu tun hatte.

    Daraufhin kamen kurzer Zeit später nach der Einigung von GeoHot und Sony die Angriffe (als er sozusagen aus der Schusslinie war).

    Gruß
     
  13. 3. Juni 2011
    AW: Hacktivisten knacken Datenbank von Sony Pictures

    Sony hat um es abzukürzen in Sachen Sicherheit einfach nur gepennt und hat zuwar viel nachgebessert aber die Anzahl der Schwachstellen ist zu umfangreich um die von jetzt auf gleich patchen zu können.
    Es ist zwar richtig, das es immer Sicherheitslücken geben wird, aber Sony war einfach nur schlampig. Bei den ersten Attacks warens Exploits und brute force, diesmal ists SQLi.

    Ich hab ne Lücke verwendet, mit der ich beim bruten IP-Sperren umgehen konnte. Hierzu hab ich über den PSN-Login, welcher auf einer Partnerseite angeboten wird Accs gebrutet. Keine IP Sperre etc, man brauch nix weiter zu tun, als die Übnertrtagungsart der übermittelten Daten (User und Pass) zu ändern und man umgeht den IP Bann. ob ein acc gültig ist merkt man dann, ob man auf ne PSN Seite landet oder auf die Page der Partnerseite zurückgeleitet wird.
    Diese Lücke existiert noch immer und ich brauchte nur wget bzw. curl und 9 Zeilen billigen Batch-Code. Kein Cookie oder so was.

    Ne SQLi bin ich auch noch am suchen. Möglichkeiten Accs zu bruten hab ich mehr als genug gefunden.
    Aber um es kurz zu machen:
    Sony hat nicht nur grob fahrlässig in Sachen Sicherheit gehandelt. Passwörter im Klartext zu speichern ist dumm und macht es jedem Hacker einfach nur zu leicht. Da wird Sony nur noch beliebter als Ziel für Scriptkiddies.

    Aber Accountdaten öffentlich zu posten nur um Sony darzustellen ist auch von der Hackergroup einfach nur asi. Accs der Admins und n paar interne DB Infos reichen doch aus. Aber wayne. Werd noc hmal auf SQLi suche gehn :-D
     
  14. 3. Juni 2011
    AW: Hacktivisten knacken Datenbank von Sony Pictures

    ein glück dass das einer der vielen communities ist der ich nicht angehör... ^^
    aber sie haben schon recht,nach soner extrem geschäftschädigenden panne ist es schon extrem fahrlässig wenn es immer noch so einfach gemacht wird.
    aber das ist eben immer das problem wenn controlling und it aufeinander treffen, da muss man eben erst von ausserhalb auf die brisanz aufmerksam gemacht werden
     
  15. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.