• Tweet

Un grupo de hackers denominado LulzSec afirma haber comprometido el sitio SonyPictures.com y haber ganado acceso completo a la base de datos de millones de cuentas.

El grupo anunció la semana pasada que está trabajando en un nuevo ataque a Sony, pero más tarde optaron por atacar PBS.org después de publicar en la red un documental de WikiLeaks.

LulzSec afirma que el método utilizado fue SQL injection, un ataque que explota uno de los más comunes tipos de huecos encontrados en sitios web hoy en día.

“SonyPictures.com fue comprometida por un simple ataque de SQL injection, uno de las más primitivas y comunes vulnerabilidades, como todos deberíamos saber a estas alturas. A partir de una simple inyección, accedemos a TODO,” escriben los hackers.

Con TODO se refieren a la información personal de más de un millón de personas que tiene cuentas en el sitio web, 75,000 códigos de música y 3.5 millones de cupones de música. La información de las cuentas comprometidas incluye direcciones de correo electrónico, direcciones de casa, fechas de nacimiento, datos de Sony opt-in y sorprendentemente contraseñas en texto plano.

“Sony almacenaba más de 1,000,000 de contraseñas de sus clientes en texto plano, lo cual significa que sólo es cuestión de tomarlas. Esto es vergonzoso e inseguro: ellos se lo buscaron”, comenta  LulzSec.

De hecho, si Sony falla en cifrar contraseñas, representa un descuido de seguridad importante. Esta práctica ha sido un estándar en el desarrollo web desde hace años.

Sin embargo, si las bases de datos pueden ser comprometidas técnicamente por alguien no autorizado, esto significa que no sido corregido del todo. 

Esto se debe a que el ataque fue tan masivo, que le habría tomado a LulzSec semanas el copiar los datos. El grupo decidió únicamente extraer muestras de la información, la cual ellos filtraron a través de The Pirate Bay.

Sony no ha confirmado oficialmente todavía la brecha de seguridad, pero si inició una investigación relacionada con las afirmaciones del grupo. Dada la evidencia, sin embargo, es muy probable que el compromiso sea real.

Y esto no se detiene aquí, ya que LulzSec también incluyó varios extractos de información de la base de datos de Sony BMG Belgium & Netherlands. Esto significa que más de las propiedades del sitio web de Sony fueron incluidas en la intrusión.