Sony fue el blanco de un nuevo ataque por parte de hackers que aseguran haber obtenido información de más de un millón de usuarios de SonyPictures.com.

El ataque fue reconocido por Lulz Security (LulzSec), otrora grupo que desfigurara el website de Public Broadcasting Service – PBS la semana pasada, quienes en un comunicado en inglés indicaron lo siguiente:

“Adjunto encontraran varias colecciones de datos robados del network interno y websites de Sony, los cuales fueron accedidos fácilmente y sin la necesidad de soporte externo o dinero.

Recientemente irrumpimos en SonyPictures.com y pusimos en peligro la información personal de más de 1.000.000 de usuarios, incluyendo passwords, emails, domicilios, fechas de nacimiento, y toda la información opt-in de Sony asociada con las cuentas.

Entre otras cosas, hemos puesto en peligro todos los detalles administrativos de Sony Pictures (incluyendo passwords) conjuntamente con 75.000 “códigos de música” y 3.5 millones de “cupones de música”.

Debido a la falta de recursos de nuestra parte (¡El bote de Lulz necesita fondos adicionales!), no pudimos copiar completamente toda esta información, sin embargo tenemos muestras para ustedes en nuestros archivos que prueban su autenticidad. En teoría pudimos haber cogido cada bit de información, pero hubiese tomado varias semanas más.

Nuestra meta aquí no es presentarnos como maestros hackers, por lo tanto lo que vamos a revelar es: SonyPictures.com fue apropiado con un inyección de SQL muy simple, una de las más comunes y primitivas vulnerabilidades, tal y como deberíamos conocer a estas alturas. Con una simple inyección accedimos a TODO. ¿Por qué poner tal fe en una compañía que se permite así misma estar abierta a estos ataques tan simples?

Lo que es peor es que cada pieza de información que tomamos no fue encriptada. Sony almacenó más de 1.000.000 de passwords de sus clientes en texto plano, lo que significa que era cuestión de tomarla. Esto es una vergüenza e inseguridad: ellos estuvieron pidiendo esto”.

Un parte de la información obtenida por el grupo de hackers fue publicada online en un archivo RAR, conteniendo más de 50 mil combinaciones de emails y passwords de desafortunados usuarios.

LulzSec adicionalmente publicó 20.000 cupones de Sony Music y el admin database de los empleados de BMG Bélgica incluyendo sus respectivos emails y passwords.

El ataque se produce poco después que PlayStation Network - PSN fuese atacada por hackers quienes irrumpieron y comprometieron la información de sus usuarios, y se encuentra en medio de un proceso de restauración completa de sus servicios de PSN y Qriocity. Piratas informáticos también ingresaron recientemente a Sony Online Entertainment (SOE) y, de acuerdo con Sony, pudieron haber robado los datos personales de 24.6 millones de cuentas.