Nederlandse klantengegevens Sony gestolen

Hackersgroep Lulzsec heeft de website van Sony Pictures gehackt en alle databasegegevens gestolen. Daaronder zijn in ieder geval klantgegevens van Nederlanders.

Sony is opnieuw gehackt. Dit keer wisten hackers van Lulzsec zeker 4,5 miljoen databasegegevens buit te maken bij SonyPictures.com. Daaronder zijn persoonlijke gegevens van zeker 1 miljoen klanten van de entertainmentgigant. Het is voor de tweede keer in één week dat Lulzsec van zich laat spreken. Dit weekend hackte de groep al de Amerikaanse publieke omroep PBS, na een uitzending over Wikileaks.
Wachtwoorden in plain text

Beveiligingsbedrijf Sophos meldt dat de hackers inmiddels zo’n 150.000 gegevens van Sony vrijgegeven hebben via torrentsite The Pirate Bay. Naast gegevens van de Nederlands-Belgische vestiging van Sony Music (voorheen Sony BMG) bevat die infodump ook een aantal tabellen met privégegevens uit wedstrijden en verlotingen. De wachtwoorden in die tabellen zijn allen in platte tekst opgeslagen.

Lulzsec heeft ook de hand weten te leggen op een aantal coupons voor Sony Music. De link voor de kwetsbare website is vrijgegeven.
'Makkie'

In een persverklaring laten de hackers weten dat Sony Pictures gekraakt is met een heel simpele SQL-injectie. “Met behulp van één enkele injectie kregen we toegang tot ALLES. Waarom vertrouwen mensen een bedrijf dat het mogelijk maakt om kwetsbaar te zijn voor deze simpele aanvallen?”, vraagt Lulzsec zich af.

Beveiligingsbedrijf Sophos heeft de gestolen wachtwoorden van Sony-klanten geanalyseerd. Daar kwam, niet al te verrassend, uit dat veel gebruiker eenvoudig te raden wachtwoorden gebruiken. Hieronder bijvoorbeeld ‘hockey’, ‘123456’, ‘123qaz’, ‘faithful’ of simpelweg voornamen als ‘freddie’ en ‘michael’. Ook voor accounts van het bedrijf zelf worden makkelijk te raden wachtwoorden als 'sonybmg' gebruikt. Dit soort wachtwoorden biedt ook weinig bescherming als de database wel versleuteld is.
Hackers aangevallen

Beveiligingsspecialist Chester Wisniewski van Sophos merkt op dat het ergste toch wel blijft dat de hackers onschuldige bijstanders in gevaar brengen. Lulzsec maakt meer dan een miljoen mensen kwetsbaar voor gegevensdiefstal door de buitgemaakte klantgegevens van Sony te openbaren. De hackersgroep doet dat volgens de beveiliger alleen om een politiek punt te maken.

Op het eigen Twitteraccount meldt Lulzsec overigens dat haar website het erg zwaar te verduren heeft sinds ongeveer twee minuten nadat zij de gegevens vrij hebben gegeven. Volgens de anonieme hackers ontvangt de website sindsdien non-stop aanvallen. Hoewel traag blijft de website overigens wel werken.