LulzSec: «Ερμαιο επιθέσεων η Sony»

Τα στοιχεία ενός εκατομμυρίου χρηστών του Διαδικτύου που υποβλήθηκαν σε δικτυακούς τόπους της Sony Computer Entertainment θα μπορούσαν να υποκλαπούν, όπως ισχυρίζεται ομάδα χάκερ που ανέλαβε την ευθύνη για νέο χτύπημα στη Sony στις 2 Ιουνίου 2011, δημοσιεύοντας, για του λόγου το αληθές, στοιχεία 50.000 χρηστών και ζητώντας δωρεές για να συνεχίσει να την πλήττει.

Μάλιστα, η ομάδα χάκερ δημοσίευσε στο δικτυακό της τόπο LulzSecurity.com σχετική «ανακοίνωση» και έδωσε τα κλεμμένα στοιχεία υπό μορφή torrent τουλάχιστον στο PirateBay.org και υπό μορφή text στο pastebin.com. Η ανακοίνωση δεν ήταν διαθέσιμη την ώρα που γράφονταν αυτές οι γραμμές (το σάιτ φαίνεται να έχει πέσει), ενώ νωρίτερα η ομάδα είχε αναγνωρίσει προσπάθεια να καταλυθεί (όπως έκανε γνωστό με σχετικό tweet), διαβεβαιώνοντας ωστόσο προς πάσα κατεύθυνση (και τους περί τους 30.000 follower που διατηρεί) ότι υπάρχουν αντίγραφα για όλα τα στοιχεία της επίθεσης στην Sony, τα οποία αποδεικνύουν την επιτυχία του εγχειρήματος.

«Η επιτυχία ήρθε εύκολα»

Η ομάδα υποστηρίζει ότι τα μέτρα ασφάλειας των δικτυακών τόπων που έπληξε (Sony Pictures και Sony BMG) ήταν τόσο ανεπαρκή ώστε δεν χρειάστηκε τίποτα περισσότερο από την «ένεση» λίγου κώδικα σε SQL για να αντλήσει από τις βάσεις δεδομένων πίσω τους, στοιχεία για 50.000 χρήστες που συμμετείχαν σε διαγωνισμούς (με τη μέθοδο SQL injection). Επιπλέον, υποστηρίζει ότι θα μπορούσε να αντλήσει e-mail και κωδικούς για ένα εκατομμύριο χρήστες εάν είχε τους απαραίτητους πόρους.

Στο μήνυμα που άφησε πίσω της, η ομάδα LulzSec ζητά από τους χρήστες να αναρωτηθούν γιατί εμπιστεύονται μια εταιρεία που επιτρέπει στον εαυτό της να γίνεται έρμαιο επιθέσεων και μάλιστα σχετικά απλών.

Βαθμός αξιοπιστίας στο ναδίρ – Στοιχεία και Ελλήνων χρηστών

Το πλήγμα μεγεθύνει το ολοένα μεγαλύτερο πρόβλημα αξιοπιστίας που αντιμετωπίζει η Sony μετά την ιστορική επίθεση τον Απρίλιο 2011 στο δίκτυο Playstation Network και στο Qriocity που είχε ως αποτέλεσμα τη δημοσίευση στοιχείων 77 εκατομμυρίων μελών των υπηρεσιών της -στοιχεία στα οποία θεωρείται πιθανό να περιλαμβάνονται και αριθμοί πιστωτικών καρτών 20.000 Ελλήνων μελών της υπηρεσίας (διαβάστε στο tech.in.gr τι πρέπει να κάνετε, εάν είστε ανάμεσά τους -επικοινωνήσαμε με τον Μεσολαβητή Τραπεζικών Επενδυτικών Υπηρεσιών, κο Αντώνη Φώσκολο για να μάθουμε).

Μετά το χτύπημα αυτό, ακολούθησε ένα ακόμα σε σάιτ της Sony Online Entertainment εκθέτοντας στοιχεία 25 εκατομμυρίων χρηστών. Σε ότι αφορά στους Έλληνες χρήστες, στις 23 Μάη, έγινε επίθεση χάκερ στο sonymusic.gr που θεωρείται πιθανό να άφησε έκθετα τα στοιχεία 8385 χρηστών (στο pastebin.com πάντως είδαμε περισσότερες από 400 εγγραφές).

Μετά από επικοινωνία του tech.in.gr με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, λάβαμε την επιβεβαίωση ότι η Αρχή είναι αρμόδια για την διερεύνηση του θέματος. Συγκεκριμένα,«η ΑΠΔΠΧ είναι αρμόδια, σύμφωνα με το ν. 2472/1997 περί προστασίας του ατόμου κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, για το περιστατικό παραβίασης προσωπικών δεδομένων που αναφέρετε και έχει ήδη εκκινήσει τη σχετική διαδικασία διερεύνησης του θέματος.»

Ανεπαρκή μέτρα;

Οι συνέπειες που θα αντιμετωπίσει η Sony θα είναι ακόμα μεγαλύτερες εάν αποδειχτεί ότι απέτυχε να λάβει μέτρα επαρκή για να προστατεύσει τα στοιχεία των πελατών της. Το πρακτορείο Reuters αναφέρει σχόλιο μέλους του ανεξάρτητου μη κερδοσκοπικού Ινστιτούτου Ερευνών U.S. Cyber Consequences, John Bumgarner, o οποίος δεν δηλώνει διόλου έκπληκτος από το νέο πλήγμα στη Sony, θυμίζοντας ότι είχε ο ίδιος προειδοποιήσει για τα κενά ασφαλείας στα δίκτυα της Sony που είχε εντοπίσει νωρίτερα.

Το νέο χτύπημα έρχεται την ίδια ημέρα που η Sony ανακοίνωνε την επαναλειτουργία του Playstation Network και του Qriocity σε ΗΠΑ, Ευρώπη και Ασία, εκτός από την Ιαπωνία, το Χονγκ Κονγκ και την Νότια Κορέα. Νωρίτερα, είχε ανακοινώσει ότι οι εταιρείες έκδοσης πιστωτικών καρτών δεν έχουν αναφέρει άνοδο στις ύποπτες συναλλαγές με τη χρήση πιστωτικών καρτών.

In.gr Τεχνολογία