Quizá Sony debería a escuchar las amenazas y advertencias de posibles ciberataques contra su infraestructura tecnológica. Esto, después de que la empresa fuera atacada y hackeada por cuarta ocasión como lo había prometido el grupo de hackivistas LulzSec a principios de semana.
Así, las amenazas, mofas y promesas que el grupo de hackers escribió en su cuenta de Twitter a finales de mayo se hicieron realidad a los pocos días, cuando LulzSec aprovechó una vulnerabilidad “bastante conocida de Inyección de SQL” para acceder a las redes corporativas de Sony.
El ataque llegó dos días después de que el grupo de diera a conocer globalmente tras lanzar una serie de ataques de Defacement contra el sitio de noticias PBS, por un crear un enfoque “tendencioso y falso” sobre el caso de WikiLeaks en su documental WikiSecrets.
“Tomamos posesión del sitio de SonyPictures.com con una ataque de inyección de SQL, una de las vulnerabilidades más primitivas que existen. Con esto tuvimos acceso a todo en el sistema”, se jactó el grupo en una entrada de blog que colocaron en su sitio web.
De acuerdo con los hackers, el ataque les permitió acceder a: 12,500 cuentas de usuarios con datos personales de Auto Trader (un concurso), más de 21,000 credenciales de una base de datos (BD) marcada como “BEATY_USERS” que incluían nombre de usuario y contraseña, otra BD con 3.5 millones de cupones de descargas de Sony Music, 65,000 códigos de Sony Music.
En total fueron más de 4.5 millones de datos personales o confidenciales comprometidos por los hackivistas.
Lo preocupante no es la forma en que LulzSec accedió a la red de Sony Pictures, sino que el grupo asegura que toda la información dentro de las bases de datos, incluso la sensible y confidencial, no se encontraba encriptada, facilitando la extracción y uso de la misma.
“Es increíble que Sony almacenara más de un millón de contraseñas en texto simple, cualquier con un poco de ganas podría haberlas tomado. Esto es una desgracia y una vergüenza para Sony”, afirmó en su blog el grupo.
El mismo grupo asegura que no copió toda la información, “por falta de recursos de almacenamiento y técnicos” y únicamente copió extractos de la información para demostrar que el hackeo fue auténtico.
Esta ya es la quinta vez que la infraestructura de Sony es comprometida. Inicialmente fuero más de 77 millones de cuentas de usuarios de la red PSN y Qriocity, más de 30 millones de Sony Online, sin contar el impacto los sitios de comercio electrónico de Sony Grecia y SonyEricsson que también se vieron afectados.
Hasta el momento la firma nipona estima que el robo y pérdida de información les ha costado más de $171 millones de dólares, esto únicamente de asesoría y los costos de los programas de compensación para los usuarios afectados y sin contemplar multas o sanciones gubernamentales o regulatorias.
A pesar de toda la especulación sobre la vinculación de LulzSec en los ataques anteriores, los hackivistas se han deslindado, a través de su cuenta en Twitter del robo de datos y aseguran que su única misión es demostrar lo malo que es Sony como empresa no comprometer información.
SÍGUENOS
© 2011 Netmedia S.A. de C.V.
Políticas de privacidad
Sócrates 128 4to piso, Polanco
CP 11560, México D.F.
Tel: 2629 7260