שרתי סוני נפרצו פעם נוספת; מיליון סיסמאות נחשפו

קבוצה של האקרים, שניצבת מאחורי הפריצה שאירעה לא מכבר לאתר של רשת הטלוויזיה הציבורית האמריקנית PBS, הודיעה שפרצה לאתר האינטרנט של סוני (Sony). הקבוצה, שמכונה LulzSec או Lulz Boat, הודיעה שהצליחה לנצל פרצה מסוג SQL Injection באתר Sony Pictures.

"לא מכבר פרצנו לאתר SonyPictures.com והורדנו פרטים אישיים של יותר ממיליון משתמשים, ובכלל זה סיסמאות, כתובות דואר אלקטרוני, כתובות מגורים, תאריכי לידה ועוד נתונים שמסרו המשתמשים בחשבונות", נכתב בהודעה שפורסמה בבלוג של הקבוצה. "פרצנו גם את חשבונות הניהול (כולל הסיסמאות) של האתר".

כדי להוכיח את הפריצה פרסמו חברי הקבוצה 150 אלף רשומות שהורידו במסגרת המתקפה, וציינו שלא פרסמו יותר פרטים רק בשל מגבלת זמן. מקור הפרטים במסדי הנתונים של Sony BMG בהולנד ובבלגיה, שכוללים מידע הן על משתמשי סוני והן על עובדי החברה. "דרך פרצה בודדת הצלחנו לגשת לכל המידע", כתבו חברי הקבוצה. "מה שחמור אף יותר הוא ששום פרט לא היה מוצפן. סוני שמרה יותר ממיליון סיסמאות של משתמשים בתצורה של טקסט פשוט, כשהמידע רק מחכה שמישהו יניח עליו יד".

הרשומות פורסמו כקובץ להורדה באתר MediaFire של קבוצת LulzSec, וכן ב-BitTorrent. אולם, ביום ו' בבוקר הוסר אתר MediaFire משרתי האירוח "בשל הפרה של תנאי השימוש" ולא ניתן היה עוד להגיע אליו. למרות הודעה שפרסמו חברי הקבוצה בטוויטר כאילו האתר שב לפעול, האתר לא היה זמין.

הפריצה הנוכחית לשרתי סוני היא חוליה נוסף בשרשרת של פריצות מביכות שמהן סובלת החברה באחרונה. אתרי אינטרנט רבים של החברה, ובכלל זה האתר של PlayStation Network, נפרצו בשבועות האחרונים, ובמשך תקופה ארוכה לא הייתה הרשת זמינה. בסך הכול זלגו פרטים של יותר ממאה מיליון משתמשים – דבר שהוביל לדיונים בקונגרס האמריקני ולתביעה ייצוגית שהוגשה כנגד החברה.

נוכח המתקפות האחרונות, עצם העובדה שנמצאה פרצה בסיסית נוספת בשרתי החברה היא, ככל הנראה, "שבירה של שיא נוסף", ציין צ'סטר וישנייבסקי, יועץ אבטחה בכיר בחברת Sophos בקנדה, בהודעה שפרסם בבלוג. "במקרה זה, נראה שהפרטים נגנבו ופורסמו רק כדי להוכיח נקודה מסוימת".