Sony erkent cyberaanval met MOVEit-zeroday, duizenden werknemers getroffen

Sony erkent dat het bedrijf eind mei is getroffen door een cyberaanval waardoor de data van zo'n 6800 huidige en voormalige werknemers mogelijk gestolen is. Het zou daarbij uitsluitend om medewerkers uit de Verenigde Staten gaan.

Het datalek heeft kunnen ontstaan door een zerodaykwetsbaarheid in het bestandsoverdrachtprogramma MOVEit Transfer van Progress Software, zo schrijft Sony in een brief naar getroffenen, aldus BleepingComputer. Het gaat om een SQL injection-kwetsbaarheid aangemerkt als CVE-2023-34362, waardoor remote code execution mogelijk was. Ook veel Nederlandse bedrijven bleken mogelijk door deze exploit getroffen te zijn.

De aanval op Sony is opgeëist door de ransomwarebende CLoP. Het betreffende incident vond op 28 mei plaats, enkele dagen voordat Sony op de hoogte werd gebracht van de zerodaykwetsbaarheid. Daarna werd de kwetsbaarheid gefixt. Volgens Sony is er voor zover bekend geen misbruik van de gestolen gegevens gemaakt.

Grofweg een week geleden was Sony ook al in het nieuws vanwege een andere vermeende ransomwareaanval op het bedrijf. Een relatief onbekende hackersgroep onder de naam RansomedVC beweerde toen 'heel Sony' gehackt te hebben. Deze claim leek in eerste instantie zeer onwaarschijnlijk, mede omdat het geopenbaarde bewijs zeer beperkt en onbelangrijk leek te zijn, zo concludeerde BleepingComputer.

Opvallend genoeg claimde een andere hackersgroep niet veel later dat zij achter deze ransomwareaanval zaten. Bij de gestolen data zouden certificaten, credentials voor verschillende diensten en beleid voor cyberaanvalincidenten zitten, zo beweerde de tweede groep. Het is in elk geval waarschijnlijk dat de twee groepen het over dezelfde gegevens hebben. Tot dusver heeft Sony deze cyberaanval overigens niet bevestigd en er is vooralsnog geen aanleiding om aan te nemen dat het om misbruik van dezelfde MOVEit-kwetsbaarheid gaat.

Door Yannick Spinner

Redacteur

05-10-2023 • 20:57

23

Lees meer

Reacties (23)

Sorteer op:

Weergave:

Het is niet de eerste keer dat Sony is gehackt.
Enkele jaren geleden zijn er tientallen gigabytes aan documenten door hackers buitgemaakt en op internet gepubliceerd.
Het ging o.a. om interne communcatie over beroemdheden en contracten die ze met hen hadden afgesloten.
Tijdens het PS3 tijdperk zijn ze gehacked door Anonymous welke zo ver ging dat het hele playstation netwerk er een maand uitlag in sommige landen zelfs een half jaar. KiraTV heeft hier nog een mooie video van gemaakt over hoe dat allemaal tot stand kwam
https://www.youtube.com/w...zcJaPLk&ab_channel=KiraTV

Sony is nou eenmaal een grote partij dus zal snel doelwit zijn, Ze zijn ook niet zo geweldig met hun bug bounty programma, wel een aantal beloningen om Playstation maar andere producten of sites van Sony geven ze niks (tenzij dit verandert is maar kan al jaren niks vinden)
Je zou toch niet verwachten dat SQL injection mogelijk blijft, dat men ondertussen wel geleerd zou hebben...
Sterker nog, injection attacks staan nog steeds op nr. 3 van de OWASP Top 10 ;(
Ja, SQL injection is wel beschamend in .. altijd.
Maar zeker alles na 2007 zeg maar. |:(
Mee eens, dit soort exploits zouden er uitgehaald moeten zijn anno 2023. De MOVE-it applicatie maakt onderliggend gebruik van SFTP (FTP over SSH) en is in principe rocksolid. Maar de implementatie liet te wensen over. Zo zat deze bug in de webinterface van hun server applicatie.

Ook is er heel recent een 2de kwetsbaarheid gevonden in deze software, die nu ook actief wordt misbruik!
https://arstechnica.com/s...e-threat-to-the-internet/

[Reactie gewijzigd door nout77 op 26 juli 2024 11:55]

Eigenlijk best raar dat Sony voor intern gebruik een externe dienst af neemt, terwijl het -lijkt mij- zelf genoeg know-how en resources heeft om code van menig open source project te pakken en daar zelf iets voor intern gebruik eromheen te bouwen of uit te breiden.
Alsof ze hun eigen ontwikkelaars en systeembeheerders niet vertrouwen.
Simpele kosten efficiëntie toch?

De devs hebben echt wel wat beters te doen dat het wiel opnieuw uit te vinden. Zaken als hun core business bijvoorbeeld.

Letterlijk alles wat de hele wereld gebruikt is een open source versie van en toch gebruiken we allemaal (jaja, gechargeerd) betaalde software.

Het is niet zo gemakkelijk om er 'even' een schil omheen te bouwen. Daarnaast, wie gaat het bugfixen, patchen en de beveiliging bijhouden voor de volledige levensduur? Precies.

Sterker nog, ik durf te wedden dat een bedrijf die software verkoopt er 100x scherper op toeziet dat het veilig is dan een paar devs die hobbien om de baas een paar tientjes uit te sparen.
Sterker nog, ik durf te wedden dat een bedrijf die software verkoopt er 100x scherper op toeziet dat het veilig is dan een paar devs die hobbien om de baas een paar tientjes uit te sparen.
Vooral omdat die devs daar nooit de tijd voor gaan krijgen. In zulke gevallen is het: draait het? Mooi, volgende klus. En meestal wordt er niet of nauwelijks geïnvesteerd in het onderhouden en monitoren van zulke oplossingen.

Bij ons is de policy dan ook: SaaS over PaaS over IaaS. Zo kunnen onze devs zich volledig bezighouden met de software die wij bouwen voor onze eigen klanten.

[Reactie gewijzigd door Godjira op 26 juli 2024 11:55]

Letterlijk alles wat de hele wereld gebruikt is een open source versie van en toch gebruiken we allemaal (jaja, gechargeerd) betaalde software.
En zelfs waar we software hebben die in de basis open source is, maken we ons zelf nog afhankelijk van third parties (en betalen we er alsnog voor omdat men support wil). Alle smaakjes Android, Synology DSM, Steam Deck (OS), de meeste smaakjes Linux, Red Hat ecosysteem, etc. Van alle open source software heb ik in geen geval de source zelf geaudit, ik zou zelfs willen stellen dat bij het gros van de bedrijven die open source software gebruiken, dit niet wordt gedaan, ook al hebben ze legio devs/security personeel. Vaak wordt het zelfs niet zelf gecompileerd, gewoon de iso downloaden, package, update, etc.
En dan nog kunnen er ook in open source software gewoon kwetsbaarheden zitten die nog niemand heeft ontdekt. Het verbaasd me altijd wel dat bedrijven als sony vaak in het nieuws komen met lekken en bijvoorbeeld een bedrijf als Google eigenlijk nooit. Heeft Google dan zo'n geweldig dicht getimmerd systeem? Ik kan me voorstellen dat hun constant onder vuur liggen door hackers.... bij Google is echt veel te halen zou ik denken
Eigenlijk best raar dat Sony voor intern gebruik een externe dienst af neemt, terwijl het -lijkt mij- zelf genoeg know-how en resources heeft om code van menig open source project te pakken en daar zelf iets voor intern gebruik eromheen te bouwen of uit te breiden.
Hangt ook wel een beetje af van welke afdeling/onderdeel/business unit getroffen is.
Sony is een best groot en divers bedrijf. Iedereen kent het van PlayStation, Bravia TV's, Xperia telefoons enz.enz.
Maar ze zitten ook onder andere in muziek en filmindustrie, consumenten en professionele audio&video, fotografie, CMOS, pcb's (zijn oa. fabrikant voor Raspberry), enz. en volgens mij sla ik de helft over ;)

Dus wellicht is er een relatief klein bedrijfsonderdeel getroffen, een onderdeel wat niet beschikt over de resources van de grote business units.
Ben wel benieuwd wat er getroffen is.
Make or buy.
Ik kan ook brood bakken maar kies er toch voor om dat door een bakker te laten doen. Dan kan ik mij richten op dingen waar ik beter in ben.
Daarmee loop ik dan wel het risico dat ik een keer een niet zo lekker brood koop, maar op de langere termijn is het toch beter om het aan de bakker te laten.
Zo raar is dat helemaal niet, waarom zou een bedrijf zelf daar dure ontwikkelaars op zetten als je het ook prima kan afnemen als SaaS dienst voor stuk minder.
Ik denk dan; geld is en blijft dus belangrijker dan veiligheid.
Nu is het nog data van werknemers, maar als in de toekomst steeds vaker de data en gegevens van politici, CEO’s etc op straat komt te liggen gaat men er wellicht wel heel snel iets aan doen, helemaal wanneer dit ivm outsourcen ineens heel veel geld en heel erg ‘belangrijke data’ gaat kosten…
Dit artikel gaat over Sony, bekend van PlayStation consoles. Wat heeft dat te maken met politici?
Volgens mij heb je niet zo’n goed beeld bij development, tooling en outsourcing. Natuurlijk kan Sony tonnen investeren in een eigen tool en een ROI hebben wat zich na meerdere jaren pas uitbetaald, maar ze kunnen ook een fractie van de kosten betalen en morgen al gebruik maken van de tool en slechts enkele resources kwijt zijn aan beheer en onderhoud.

Laat ze bij Sony lekker focusen op hun core: entertainment en hardware.
Dat kun je natuurlijk doortrekken naar messaging, email, telefonie, webhosting, etc. Een lek in Teams/Slack zou ook gevaarlijk zijn, evenals in Gmail/Exchange, AWS, etc.

Dan heb je makkelijk een paar honderd devs en ander ondersteunend personeel aan het werk die voor honderden miljoenen per jaar al je tools, die geen winst maken, aan het bouwen/onderhouden zijn. Daar is toch geen beginnen aan? Daarnaast heb je dan nog steeds nul garantie dat je geen beveiligingsproblemen hebt.

[Reactie gewijzigd door Verwijderd op 26 juli 2024 11:55]

Alsof ze hun eigen ontwikkelaars en systeembeheerders niet vertrouwen.
Of simpelweg niet de mensen hebben om in het ' inhouse ' te doen. Daarnaast is ook maar net de vraag of dat het ontwikkelen van dit soort software inhouse een veilige keuze was geweest
Volgens Sony is er voor zover bekend geen misbruik van de gestolen gegevens gemaakt.
Totdat iemand ontdekt dat dat wel zo is en dan komt Sony weer met een nieuw 'valt wel mee'-verhaal.

Als Sony nu pas toegeeft dat het in mei gehackt was is hun bewering nu dat de gestolen data niet is misbruikt niet zo betrouwbaar meer.
Óf, je denkt nog even wat langer na en gaat alleen uit van feiten in plaats van speculatie. Zijn er duidelijke aanwijzingen dat de gestolen data is misbruikt en er slachtoffers zijn? Op dit moment volgens tweakers blijkbaar niet, anders was dit wel vermeld.

Kan zijn dat de data wordt bewaard voor later gebruik, of wellicht heeft men het al dan niet succesvol proberen te verkopen op de zwarte markt waarna het alsnog misbruikt zou kunnen worden.

Who knows? We don't, en maakt eigenlijk toch ook niet zo uit. Het is vooral vervelend voor die 6800 medewerkers; mocht er informatie tussen zitten die hen kan schaden. Wellicht komt hier nog eens vervolgnieuws op dat er iets is gebeurd, of misschien blijft het hier wel bij en wordt de gestolen data nooit echt ergens voor gebruikt.

Het nieuws is vooral dat een groot bedrijf als Sony wederom gevoelig is gebleken voor hacks, en dat we met z'n allen goed moeten opletten welke software we in ons huis binnenlaten. Doen de meeste tweakers waarschijnlijk al erg goed, maar dit is een goede reminder.

Prima toch dat Sony dit meldt? Niet gek dat er wat tijd overheen gaat, ze hebben het probleem waarschijnlijk eerst heel goed willen begrijpen en extra controles willen uitvoeren voordat ze een kwetsbaarheid aan de wereld tonen. Lijkt mij verantwoorde bedrijfsvoering.

[Reactie gewijzigd door Angelevo op 26 juli 2024 11:55]

Op dit item kan niet meer gereageerd worden.