1 million de comptes Sony Pictures piratés
Les serveurs de Sony Pictures ont été piratés à l’aide d’une simple injection SQL, selon LulzSec, un groupe de pirates qui revendique l’attaque et a dévoilé sur Internet les informations personnelles de plus d’un million d’utilisateurs. Selon le message qu’ils ont publié sur PasteBin, « SonyPictures.com fut conquis par une très simple injection SQL, une des vulnérabilités les plus primitives et basiques. À partir d’une simple injection, nous avons TOUT (sic) accédé ».
« Le pire est que chaque bit de donnée que nous avons pris n’était pas chiffré. Sony stocke plus de 1 000 000 (sic) de mots de passe de ses consommateurs dans un fichier texte, ce qui veut dire que c’est simplement une question de le prendre. C’est honteux et un manque de sécurité : ils (les employés de SonyPictures.com, NDLR) le cherchaient. », s’exclame LulzSec dans son communiqué.
SonyPictures.com n’est pas le seul à avoir été touché. Les sites hollandais et belges de Sony BMG, la division musique de la firme, ont aussi été victime de la même attaque. Le site de LulzSec a depuis été mis hors ligne et les pages de bases de données publiées ont été retirées de la Toile.
Cette attaque aurait surement eu moins d’importance si Sony n’avait pas été victime d’un des plus grands piratages de l’histoire de l’informatique en avril dernier (cf. « Affaire PSN : plus de 100 millions de comptes compromis »). Même si les pirates affirment qu’une injonction SQL est une attaque très simple, ce n’est pas à la portée de tout le monde. Sony n’est pas non plus le premier à avoir une faille dans sa base de données. Les injections SQL sont la deuxième technique la plus utilisée pour pirater un serveur après les attaques par déni de service (cf. « Le déni de service passe devant les injections SQL »). Par contre, le fait que les informations personnelles des utilisateurs soient contenues dans un fichier texte non chiffré est beaucoup plus répréhensible.
En plus des comptes utilisateurs, les pirates ont aussi dérobé des coupons destinés aux sites Sony BMG. LulzSec n’en est pas à son premier coup d’essai. Le 30 mai dernier, il a pénétré le site de PBS.org, une chaîne de télévision américaine, pour protester contre le ton négatif de leur reportage sur WikiLeaks. Ils se sont introduits dans les serveurs et ont dérobé les identifiants des employés. Ils ont ensuite publié un article à l’insu de la rédaction annonçant que le rappeur Tupac était encore en vie et qu’il résidait en Nouvelle-Zélande. Une capture de l’article est disponible sur Freze.it. Pour information, Tupac Shakur est un rappeur américain tué en 1996. Les rumeurs d’une soi-disant apparition de Tupac dans un endroit isolé font partie du folklore américain au même titre que celles portant sur Elvis Presley.
- HP veut vendre des licences webOS
- Protogon : un nouveau système de fichiers pour Windows 8
- TDJ : Enermax Modu 87+ ErP Lot6 700W
- L'interface de Windows 8 dévoilée
- Tom’s Guide : Wii 2, que cache le Projet Cafe ?
- Des boîtiers, des alims et du son chez Antec
- Les premières puces Qualcomm Atheros arrivent
- De l’Eyefinity 3 sans DisplayPort avec une Radeon HD 6970
- Thunderbolt se montre au Computex
- Le jeu sur le Cloud arrive en Europe
- TDJ : LEPA LPC302, Gigabyte Z68X-UD4-B3
- Les pilotes et firmwares de la semaine
- Nintendo attaqué par LulzSec, le maître chanteur ?
- Des HyperX Kingston au SandForce SF-2281
- Deux alimentations 1 xx0 W présentées par OCZ
- TDJ : ATH-WS70, Asus P8Z68-V Pro
- IBM lance un SmartCloud dédié à l’éducation
- Intel Z68 : 3 cartes mères comparées
Bon, on va dire qu'ils n'avaient pas besoin de ça :@
"Besoin"??? Ca sous entends "ho, les pauvres, ils ont déjà assez de mal actuellement"... Tu as des actions chez eux ou quoi???
Ne le prends pas pour une attaque personnelle hein, ce n'est que du sarcasme. Pour souligner que leur sécurité est lamentable, et ce n'est pas parce qu'ils ont eu un énorme piratage qu'il faut les excuser des autres failles! Bien au contraire, cela permet de se demander combien de failles ont-ils.
Ils vont finir par être la cible des pirates en herbe, genre le passage obligé pour le cv d'un pirate à ce rythme là!
Lamentable...
(ce n'est pas de l'énervement mais plutôt de l'indignation).
A la porté de presque tout le monde quand même : trouver une page de login et mettre " ' or 1=1-- " dans le champ mot de passe c'est pas hyper compliqué.
Et, à ma connaissance, une attaque par deni de service ne permet pas de s'introduire sur le serveur et d'obtenir des informations stockées dans sa base de données, ça met "juste" le serveur KO et dans l'incapacité de répondre au requêtes des clients. Je vois pas bien ou on veut en venir en comparant les 2 type d'attaque là.
Ce qui est inquiétant c'est que Sony n'as pas l'air très au points niveau sécurité. Une faille SQL autant ça peut arriver mais garder des infos précieuse en clair c'est limite quand même.
injonction SQL: Sony Picture met tes mains sur le capot et sélectionne étoile de la table user !!!
Moi je pense que c'est très grave puisque la plupart des gens ont le meme login/email et mot de passe pour leurs innombrables comptes facebook, paypal, ebay, hotmail, etc.
Si vous etes pami le million ce n'est pas grave mais si par ailleurs vous etes la cible d'un phising, cheval de troie, escroquerie, arnaque ou malveillance ciblée, ces criminels peuvent utiliser facilement ces informations pour avoir bcp plus d'armes contre vous ... Faire le lien email adresse nom mot de passe devient facile.
Sony en prend plein la tete en se moment.
Une attaque par injection SQL franchement c'est pas vraiment ce que je qualifierai de compliqué à effectuer... et réaliser du fuzzing sur ses sites Web pour vérifier ce genre de broutilles me semble la moindre des choses que l'on s'appelle Sony ou autre.
Mais bon comme l'a si bien illustré Geek & Poke, tout le monde doit avoir des priorités :
http://geekandpoke.typepad.com/.a/ [...] 8d8970d-pi
Je ne vais franchement pas plaindre Sony! Ils ont été d'une telle arrogance qu'ils peuvent se confondre en excuses et courbettes pendant encore de nombreuses années.
Pour souligner que leur sécurité est lamentable, et ce n'est pas parce qu'ils ont eu un énorme piratage qu'il faut les excuser des autres failles! Bien au contraire, cela permet de se demander combien de failles ont-ils.Ils vont finir par être la cible des pirates en herbe, genre le passage obligé pour le cv d'un pirate à ce rythme là!Lamentable...(ce n'est pas de l'énervement mais plutôt de l'indignation).
Tu ne t'est pas demandé une seule seconde si ce groupe ne racontait pas des conneries ?
Si ce groupe racontait une connerie, Sony aurait déjà confirmé. En général, chez eux, quand ils ne l'ouvrent pas, c'est que c'est bel et bien la vérité.
ads
Un épisode de plus dans la grande saga de l'été: "Quel site SONY verra t'il piraté aujourd'hui ? Episode 5: Pictures"
Ils n'en ont pas marre de récupérer des données ? Ils ont sûrement déjà assez de matériel pour voler quelques millions d'€uros. Et l'acharnement ici n'est pas de nature thérapeutique...
Franchement, l'indignation, la rage ou la peur ne servent à rien. Ici le mal est fait depuis un moment avec le piratage du PSN en premier lieu et la suite logique veut, dans le cas ou ce sont des vengeurs masqués, qu'ils ne se contentent pas de pirater les comptes stockés mais plutôt à effectuer une destruction systématique de tout site lié de prêt ou de loin à la marque. Ici, ils se contentent de voler les données ce qui à mon sens ne relève pas de l'acte vengeur mais bel et bien de l'intention malveillante.
La press release officielle de Sony, juste au cas où certains douteraient...
http://www.sonypictures.com/corp/p [...] urity.html
Je crois bien que c'est la 10ème attaque connues (entendre par la officielle) sur des sites de Sony ou associé à la firme depuis le début de l'année.
Pour un certain CRJ ( cf 2001 l odissėe de l espace
) ) les gens ont criės plus vite et pour moins que ça au complot lol
C'est quand même fou qu'ils puissent encore faire du piratage par injections SQL. J'ai l'impression que les sites Sony sont basés sur des librairies qui ont plus de 10 ans...Avec les frameworks Java/.Net/PHP/autres actuels, il faut vraiment le vouloir pour laisser passer une attaque de ce type.
Pour donner une idée :
- il y a 10 ans, on faisait une concaténation de chaines de caractères pour former une requête SQL qu'on envoyait direct à la base de données. Il suffisait donc de connaître un peu de SQL pour mettre des bouts de requêtes à la place des arguments et faire n'importe quoi.
- les frameworks actuels ont tous des interfaces d'accès aux bases de données, et ces interfaces ont des mécanismes pour vérifier que ce qui est en entrée et bien ce qui est attendu, c-à-d qu'on a bien un simple argument et pas un bout de requête caché. Tout est déjà pré-mâché pour le développeur !
Conclusion: Sony utilise du vieux code antédiluvien ou bien n'embauche que des stagiaires pour faire leurs sites web.
Si j'avais des actions Sony je serais franchement inquiet.
Ils sont à la fois incapables de prévenir une attaque informatique mais aussi incapables d'agir une fois leur vulnérabilité démontrée.
Ils perdent des milliards en publicité négative ! La planète entière se fout d'eux.
Pour une boite de cette taille, embaucher genre une centaine d'informaticiens pour sécuriser leurs ressources en urgence c'est normalement pas la mer à boire (surtout s'ils sous-traitent en Inde).
Alors c'est de l'incompétence pure et simple ou ils sont à ce point là touchés par la crise et les catastrophes naturelles qu'ils n'arrivent pas à réagir ?
Si ça continue le complot interne paraitra carrément plus crédible que des attaques informatiques courantes...
Salut,
A mon avis c'est les hackers que se revolte pour defendre et vanger le celebre Hackers George Francis Hotz, plus connu sous le pseudonyme de GeoHot, est un hacker américain, né le 2 octobre 1989, et qui a debloqué la Playstation 3 et l'iphone mais qui a eu aussi des procés avec Sony Playstation.
@+
L'intention de vol est trop flagrante pour que ce soit une simple affaire de vengeance.
Et encore ce n'est que le sommet de l'iceberg.
N'utilisez jamais votre vraie CB sur un site de eCommerce et utilisez toujours des mots de passe sérieux pour les comptes sérieux. Donc obligation d'utiliser un gestionnaire de mot de passes.
N'utilisez jamais votre vraie CB sur un site de eCommerce
t'aurais pas une fausse cb en rab, par hasard?
une e-carte !