Il gruppo di hacker LulzSec ha rivendicato la paternità di un attacco al sito di Sony Pictures, riuscendo ad impossessarsi delle informazioni personali non criptate di oltre un milione di utenti. Sembra dunque che le promesse, o le minacce, che i pirati hanno fatto settimana scorsa non fossero del tutto campate per aria (PSN online in settimana, ma gli hacker non mollano).
I dirigenti Sony non sanno più dove sbattere la testa...
I dati personali trafugati includono e-mail, password, data di nascita, indirizzi di residenza e non solo. Gli hacker sono riusciti a impossessarsi anche delle credenziali degli amministratori del sito, e a portar via un bottino di 75mila "codici musicali" e 3,5 milioni di "coupon musicali", usati per scaricare album e canzoni dal sito di Sony e da altri affiliati del network. Infine, fra i dati recuperati dai pirati sarebbero presenti anche le informazioni personali dello staff di Sony BMG Belgio e Paesi Bassi.
Per dimostrare il loro attacco, gli hacker hanno pubblicato in rete un file con le informazioni di 50 mila utenti, e hanno sbeffeggiato pubblicamente la sicurezza del sito di Sony con un comunicato, messo in crisi ancora una volta da un semplice attacco SQL injection.
Ricordiamo infatti che lo stesso gruppo di hacker aveva già attaccato il sito di Sony BMG Giappone con la stessa modalità (Sony nel mirino: ormai è bombardamento a tappeto). "Errare è umano ma perseverare è diabolico" ci sembra l'espressione più adeguata per definire la situazione della sicurezza di Sony, messa in ginocchio ancora una volta da una tipologia di attacco molto semplice per chi ha un po' di dimestichezza col mondo dell'hacking.
Il comunicato di LulzSec si fa beffe di Sony anche con l'ASCII Art - Clicca per ingrandire
"SonyPictures.com è stato bucato da un attacco SQL injection, una delle vulnerabilità più primitive e comuni del Web, e tutti dovrebbero saperlo", ha dichiarato LulzSec in un comunicato.
"Con un singolo attacco siamo riusciti ad accedere a tutto. La cosa peggiore è che ogni bit di dati che abbiamo prelevato non era criptato. Sony ha archiviato più di un milione di password dei suoi clienti in semplice formato di testo, questo vuol dire che è bastato recuperare il file per accedere a quelle informazioni personali".
Il gruppo di hacker continua dicendo di aver copiato e pubblicato solo una piccola parte delle informazioni disponibili a causa delle risorse limitate che hanno impedito di scaricare tutto il materiale archiviato online. "Teoricamente avremmo potuto impadronirci di ogni singolo bit d'informazioni, ma ci sarebbero volute settimane".
Tempi duri per l'azienda giapponese, alle prese con attacchi informatici su più fronti - Clicca per ingrandire
Finora, l'unico commento dell'azienda arriva via email da Jim Kennedy, vice presidente esecutivo per le comunicazioni globali di Sony Pictures Entertainment, che in poche righe dice soltanto che si sta analizzando il comunicato di LulzSec, senza fornire ulteriori informazioni.
Se la falla dovesse risultare così estesa, come confermato dal gruppo di hacker, per Sony si tratterebbe della seconda più grande intrusione sui suoi server, dopo il noto attacco al Playstation Network e a Sony Online Entertainment (Furto sul Playstation Network: 70 milioni di utenze!).
Che l'azienda stia cercando di candidarsi per il titolo di multinazionale più attaccata dagli hacker nel 2011? Se fosse davvero così, dopo le vicende degli ultimi mesi è chiaro che la lotta per il primo premio ha già un vincitore.