Aanvallers verkrijgen wachtwoorden Griekse muziekdienst Sony

De website van Sony BMG in Griekenland lijkt ten prooi te zijn gevallen aan een hacker. De hacker heeft een database-uitdraai gepubliceerd. Vermoedelijk is gebruikgemaakt van een sql-injectie om de database van de website te infiltreren.

Op Pastebin.com zijn gebruikersgegevens geplaatst die afkomstig zouden zijn van Sonymusic.gr. Hoewel de databasedump incompleet lijkt en deels uit random data bestaat, zijn onder andere gebruikersnamen, e-mailadressen en wachtwoorden gepubliceerd. Het zou gaan om data van 8385 gebruikers.

De aanval op Sonymusic.gr is inmiddels geclaimd door een hacker die opereert onder het pseudoniem b4d_vipera. Beveiligingsfirma Sophos vermoedt dat gebruik is gemaakt van een sql-injectie.

Websites van Sony zijn in de afgelopen maanden diverse malen gekraakt. De grootste aanval werd uitgevoerd op het PlayStation Network. Daarbij werden gegevens van een miljoen gebruikers buit gemaakt, waaronder creditcardnummers. Als gevolg van de aanvallen werd het PSN offline gehaald. Inmiddels is Sony stapsgewijs bezig om het PlayStation Network weer in de lucht te brengen.

IT-banen

Reacties (113)

Grauw 23 mei 2011 09:35

Zucht. ’t blijft ook maar doorgaan he, ik krijg een beetje meelij met Sony.

[Reactie gewijzigd door Grauw op 23 juli 2024 00:35]

mischaatje2 @Grauw • 23 mei 2011 10:10

Ik heb op Tweakers nog niet eens het bericht voorbij zien komen over een service die Sony heeft, die gekraakt is en waarbij klanten van die service zijn bestolen van online credits die ze hebben opgebouwd. Het ging om ongeveer 1200 dollar aan credits die gebruikt konden worden op PSN.

Linkje voor degene die niet te lui is om te submitten of die het artikel wil lezen:
http://www.thinq.co.uk/20...oints-stolen-latest-hack/

Verwijderd @Grauw • 23 mei 2011 10:02

Medelijden met Sony heb ik niet zo, wel met de gebruikers. Kan iemand mij een beetje inlichten hoe ik deze nieuws berichten nu moet lezen? Ik bedoel dan:
Zijn er nu hele groepen hackers die zich alleen richten op sony of wordt alles nu uitvergroot door de verschillende media?

Mellow Jack @Verwijderd • 23 mei 2011 10:42

Alles waar ze Sony mee kunnen pakken gebruiken ze nu voordat Sony de tijd heeft gehad om zichzelf beter te beveiligen. Nu kan het namelijk nog terwijl het mogelijk is dat deze methodes niet meer zullen werken zodra Sony klaar is met hun beveiliging updates

Dat is het gevoel wat ik bij deze berichten krijg

MClaeys @Mellow Jack • 23 mei 2011 11:31

Je kan het ook anders bekijken, als deze hack er nu niet was geweest was hij er binnen x aantal tijd er wel geweest. Ik heb de indruk das Sony zijn beveiliging pas update als er hackers inbreken. Als ze wisten van dit lek hadden ze het al veel vroeger opgelost/moeten oplossen.

SQL-injectie is te vermijden en dat is, zeker op professionele systemen als deze, een must!

[Reactie gewijzigd door MClaeys op 23 juli 2024 00:35]

Zoop @MClaeys • 23 mei 2011 13:10

SQL-Injectie is heel goed te vermijden, en ongeveer een van de basis dingen om je systeem tegen te beveiligen. Dat dit niet is gedaan getuigd toch wel van een bepaalde nalatigheid.

kluyze @Zoop • 23 mei 2011 19:29

Het is inderdaad te vermijden en het is inderdaad een beetje nalatig. Alleen is de vraag, is dit software die door Sony zelf geschreven/geïnstalleerd is, of door een andere partij?

Ik kan me voorstellen dat Sony niet zelf deze dingen opzet maar dit laat doen door een externe firma. Is het dan de fout van Sony?

Natuurlijk kan het ook zijn dat dit allemaal onder beheer van Sony zelf gebeurt, in dat geval is het hun nalatigheid en in dat geval hoop ik dat de verantwoordelijke(n) hun verdienste krijgen.

MClaeys @kluyze • 23 mei 2011 21:41

Als je iemand iets laat doen in jouw opdracht controleer je toch ook het werk wat die mensen deden? Dus in beide gevallen zou het nalatigheid zijn van hun.

Verwijderd @Mellow Jack • 23 mei 2011 19:13

Sony loopt achter de feiten aan, hoe kun je nog erger falen als bedrijf?

Blokker_1999

Privacy

@Verwijderd • 23 mei 2011 10:05

Ik denk een beetje van beiden. Sony is opgejaagd wild geworden.

Verwijderd @Verwijderd • 23 mei 2011 12:02

Medelijden met Sony hoef je niet te hebben,
Het is een beetje als een bijenkorf slaan en dan geen beschermende kleding dragen. Het is eerder "boontje komt om zijn loontje".

Ze hebben namelijk de optie om linux op een ps3 te draaien er uit gehaald.
Daarna hebben ze div hackers/programeurs prive aangeklaagt die bezig waren dat ongedaan te maken. (deze waren met een home brew mod bezig die funcionaliteid moest terug geven aan gebruikers ) Tja het aan klagen van deze personen schoot bij veel hackers in het verkeerde keel gat en heeft sony bij de hack communitie heel erg in de spot light gezet. Tja Als je dan je beveiliging niet op orde hebt .......

indostylo @Verwijderd • 23 mei 2011 12:34

En daarom vind jij dat de hackers het recht hebben om de website van Sony te hacken en privé gegevens van duizenden klanten openbaar te maken.

Ik hoop dat de internet rechercheurs / FBI / CIA deze hackers hard aanpakken en ze levenslang gevangenisstraf geven om voorbeeld te stellen aan de andere hackers.
Wat laatste tijd is gebeurd vind ik gewoon niet meer kunnen, hackers hebben teveel vrijheid en wordt te zacht aangepakt.

Hacken van bedrijven om privé gegevens te stelen, en opereren onder de naam van "Vrijheid op internet", heel erg triest allemaal.

En Sony moet ook echt veel investeren in beveiligen van haar database, zo raken ze vertrouwen van veel klanten kwijt.

Flagg @indostylo • 23 mei 2011 12:45

Hij zegt nergens dat hij vindt dat hackers dat recht hebben. Hij zegt alleen dat ze het een beetje over zichzelf afroepen.

Als ik in het feyenoord vak ga roepen dat feyenoord een damesvoetbal club is, dan heeft niemand het recht om mij in elkaar te meppen, maar wat denk jij dat er gebeurd?

Roko @Flagg • 23 mei 2011 13:11

Helaas is dat de wereld waarin we leven. Sony heeft terecht zijn rechten afgedwongen, maar keihard gefaald door zichzelf (en dus indirect hun klanten) niet te beschermen.

Verwijderd @indostylo • 23 mei 2011 13:32

Hoe vervelend het ook is voor de gebruikers -- nu email adres en wachtwoord openbaar, en creditcard gegevens eerder (wat nog wel eens vervelender zal zijn) -- levenslang ervoor lijkt me nogal buiten proporties!

Verwijderd @indostylo • 23 mei 2011 20:17

@Indostylo
Net zoals Red_inc al aangaf heeft Sony dit over zichzelf afgeroepen. Noem is een andere manier op om een bedrijf als Sony 'terug te pakken'? In je eentje geen PS# meer kopen?

Microsoft doet precies het tegenover gestelde, en met succes. Microsoft nodigt de hackers uit, praat met ze en krijgen eventueel zelfs een baan! Als Sony dit voorbeeld had gevolgd was er geen wolkje aan de lucht.

Ik heb alleen maar lof voor de hackers. En ook ik, als legale gamer, ben getroffen door de hackers tijdens de downtime van PSN. Natuurlijk was het wel vervelend, maar het werd tijd dat $ony is flink wakker geschud werd.

Ik hoop ook dat als jij een keer buiten je boekje ga, dat je dan ook levenslang krijgt!

[Reactie gewijzigd door Verwijderd op 23 juli 2024 00:35]

Verwijderd @Grauw • 23 mei 2011 10:07

En ik krijg meelij met gasten die dit soort reacties plaatsen. Sony ligt onder een vergrootglas. Alles wat er nu fout gaat wordt breed uitgemeten. Dit komt bij zoveel bedrijven voor maar ja, Sony is actueel.

Ramoncito @Verwijderd • 23 mei 2011 13:08

Dan ben je niet echt op de hoogte van de berichten over Sony van de afgelopen jaren.

Zelf ben ik rigoureus gestopt met Sony producten nadat zijn mijn favoriete freeware tool FixVTS offline haalden (nu onderdeel van AnyDVD).

Eerder hadden we natuurlijk het Sony rootkit schandaal, maar Sony zet ook kwaad bloed met hun ARccOS onzin en de draconische, verplichte DRM rommel op hun BluRay producten (ik steunde het HD-DVD formaat). Dat is niet alleen omdat ik het wil kunnen kopiëren, maar ook vanwege de idiote regio codering (die Japan opeens met Amerika verbind ipv bij de DVD regio codering Europa..??..) en niet te vergeten de 40% extra energie het gebruikt voor decoderen van de video..

Dit, en meer geeft Sony het label: Anticonsumenten-electronica.

Verwijderd @Ramoncito • 23 mei 2011 13:23

Dat was omdat Japanse en Asiatische films ineens populair werden in Europa.Dit omdat ze die wel gelijk zonder problemen konden kijken en eerst niet. SNIF SNIF deed de film industrie... centjes

....... en hup achter de codering van de maakbare markt

. Want Europeanen betalen toch wel

R4gnax

Privacy

@Verwijderd • 24 mei 2011 09:41

Dat zal niet het hele verhaal zijn, want de prijs voor elektronica en elektronische media ligt in Japan doorgaans hoger dan in Europa. (Omgerekend € 80,- voor een Nintendo DS titel, bijvoorbeeld. Wat gemiddeld 2x zo duur is als hier in Europa.)

Alpha89

23 mei 2011 09:35

Mijn god... Sony haal je hele netwerk maar offline en ga alles maar 1 voor 1 testen...

humbug @Alpha89 • 23 mei 2011 10:02

Sony is op dit moment gewoon een doelwit. En blijkbaar zijn de systemen niet 100% veilig. Maar ik vraag me sterk af of het bij andere bedrijven beter geregeld is.

Verwijderd @humbug • 23 mei 2011 10:11

De laatste hack is waarschijnlijk gepleegd dmv een sql injectie. De vorige was een oud "vergeten" systeem en de eerste hack gebruikte een lekke en verouderde Apache server.

De lekken zijn wel degelijk de schuld van Sony want sql injectie kunnen en hoeven echt niet meer tegenwoordig. Daarnaast had een keertje "Windows Update"/pacman -Syu/apt-get update draaien de eerste en grootste hack al voorkomen waarschijnlijk.

Verwijderd @Verwijderd • 23 mei 2011 10:19

Ik denk persoonlijk dat het in de netwerkomgeving van Sony nét een tikkeltje anders in elkaar zit dan op die linux server van jou op zolder. Ik denk al helemaal niet dat het een kwestie van "even /pacman /Syu /Apt-get" in de terminal te gooien.

Jammer dat mensen het zo simplistisch inschatten. Mijn mening hierover: Alle bedrijven zijn net zo lek als Sony, alleen Sony een beetje pesten is nu even een hype. Over een paar maanden is het volgende bedrijf aan de beurt, en zijn we met zn allen het "Sony-verhaal" vergeten

Heedless @Verwijderd • 23 mei 2011 11:35

Het schijnt dat die Apache versie gewoon up to date was:
http://bitmob.com/article...ls-psn-servers-up-to-date

Pixeltje

@humbug • 23 mei 2011 10:20

Rabobank is ook al twee keer (of meer?) kort achter elkaar platgelegd door "hackers" (of wie dan ook). Systemen zijn bijna niet 100% waterdicht te krijgen, en er is altijd wel een slimmerik die op een of andere manier een beveiligingslek vind..

Is niet zoals het hoort maar helaas wel waar tegenwoordig. Het lijkt me dus tijd om de vraag te gaan stellen hoe je gegevens opslaat, en niet zozeer hoe je voorkomt dat iemand ze kan lezen. Dat laatste blijft belangrijk natuurlijk maar wachtwoorden als plain text in de URL zetten of opslaan in een bestandje op de server kan gewoon niet meer. En toch gebeurd het nog belanchelijk veel.

Van het weekend aangemeld bij twee sites, kreeg mijn wachtwoord en gebruikersnaam in plain tekst in dezelfde mail toegestuurd.. dat schiet niet op natuurlijk.

LeVortex @Pixeltje • 23 mei 2011 10:38

Platgelegd of gehacked is nogal geen verschil. Je vergeet even te melden dat er bij de Rabobank geen gegevens zijn gestolen. Bij Sony is dat nu al meerdere keren gebeurd en is er zelfs laatst een creditcard site op hun domain gehost/gelinked. De beveiliging is gewoon zo lek als ik weet niet wat. Alle grote sites zijn doelwit, alleen Sony is blijkbaar een easy target.

Ik kan geen nieuws voor de dag halen dat er bij de Rabo gegevens gestolen zijn, dus als jij dit wel hebt ben ik heel benieuwd.

Mellow Jack @LeVortex • 23 mei 2011 10:49

Nee volgens mij was het inderdaad een ddos aanval en dat is idd iets compleet anders dan een daadwerkelijke hack. Het is jammer dat je veel media nog hoort praten over een hack terwijl het een ddos is geweest. Dit omdat je zo een compleet verkeerd beeld maakt bij de onwetende consument

pim @Pixeltje • 23 mei 2011 10:48

Systemen zijn bijna niet 100% waterdicht te krijgen, en er is altijd wel een slimmerik die op een of andere manier een beveiligingslek vind..

Wat een ontzettende onzin.. Vaak worden de grootste sites gehacked d.m.v. Cross Side Scripting attacks of SQL-injection.
Dat zijn simpelweg gewoon slechte developers aan het werk.. Amateurs is wellicht het goede woord.

Pixeltje

@pim • 23 mei 2011 11:38

Dan klopt toch wat ik zeg? die sites zijn niet 100% dicht te krijgen omdat je niet elke millimeter code kan controleren (kennelijk).

Zoop @Pixeltje • 23 mei 2011 13:14

nee, maar sites als deze komen niet eens in de buurt van die 100% als je simpele dingen als SQL-injectie toe laat. Dan staat je boeltje gewoon wijd open, en is het meer een kwestie van tijd tot iemand dat door heeft en er misbruik van maakt.

MClaeys @Pixeltje • 23 mei 2011 11:39

Rabobank is ook al twee keer (of meer?) kort achter elkaar platgelegd door "hackers" (of wie dan ook). Systemen zijn bijna niet 100% waterdicht te krijgen, en er is altijd wel een slimmerik die op een of andere manier een beveiligingslek vind..

De ddos aanvallen op de site van Rabobank zijn van een totaal andere orde, dat is niet hacken. Er is ook niks gestolen en de gegevens van de klanten waren op geen enkel ogenblik in gevaar. Ddos is eigenlijk niks meer dan constant requests aanvragen naar de server om vervolgens er niet meer op te reageren.
In het geval van Sony gaat het wel steeds opnieuw weer om hacks, waarbij gegevens gestolen worden. Hoe zij hun systemen beveiligen daar hebben wij geen oog op en kunnen we dus normaal gezien niet over oordelen. Maar als het klopt dat deze hack via sql-injectie is gebeurt dan ligt de fout wel degelijk bij Sony, want dat kan en moet je vermijden.
(Btw, er zijn erg veel bedrijven die te lui zijn om sql-injectie tegen te gaan, niet enkel Sony)

[Reactie gewijzigd door MClaeys op 23 juli 2024 00:35]

Randal @Alpha89 • 23 mei 2011 10:03

Ik denk dat Sony nu gewoon het doelwit is en dat je zo nog héél veel bedrijven op de knieen kunt krijgen. Mocht het niet om crimineel gewin gaan, dan lijkt erop dat de hackers zich op een 'zielige' manier moeten bewijzen met de reden 'OtherOS' als excuus.

Van mij mogen ze zo'n hacker keihard aanpakken, als deze nog te traceren is.
Net als bij PSN, is Sony immers niet het enigste slachtoffer.
Ze gaan gewoon respectloos met prive-gegevens van gebruikers om, zoals door het openbaar te publiceren...

CopperCAT @Randal • 23 mei 2011 10:13

Wat een rare opmerking. Wie gaat er eigenlijk respectloos met privegegevens om? Sony of de hackers... Lijkt me wel duidelijk als hun systeem zo makkelijk te kraken is.

tilburgs82 @CopperCAT • 23 mei 2011 11:22

Dus jij bent zo'n figuur die dus iets jat als het te jatten is?
Dat de beveiliging niet op orde is kan natuurlijk niet, maar dat geeft hackers nog geen recht om het daadwerkelijk te hacken

TWeaKLeGeND @tilburgs82 • 23 mei 2011 11:47

Dan nog heeft Sony wel de plicht jouw gegevens degelijk te beveiligen.

Flagg @tilburgs82 • 23 mei 2011 12:48

Hallo wat denk jij dan? Doet toch iedereen? als je weet dat je niet gepakt wordt en het is makkelijk te jatten doet iedereen het.

Iets met mp3 en films enzo...

Zoop @tilburgs82 • 23 mei 2011 13:21

En jij bent zo'n figuur die met de vinger wijst en "foei" roept, wanneer iemand iets doet wat niet door de beugel kan?

Als ik een erg slecht beveiligde winkel heb, zonder alarmsysteem en waar je zo via het raam naar binnen kan, terwijl ik daar hele waardevolle spullen heb liggen, geeft dieven uiteraard dus niet het recht om het stelen. Maar dat de kans groot is dat het gebeurd, dat snapt iedereen.

Als je systeem gevoelig is voor Sql-injectie is ongeveer vergelijkbaar. SQL-injectie is niet moeilijk, ieder script-kiddie kan het. Het is alleen een kwestie van ontdekken. Terwijl het echt niet moeilijk is om je ertegen te beveiligen.

Dus Sony is wel degelijk degene die respectloos met gegevens omgaat.

Also: http://www.vgcats.com/comics/?strip_id=302

Kurai Hoshi @Zoop • 23 mei 2011 13:52

'' vroeger" had je kraampjes langs de weg met groente en fruit, daarnaast een blikje voor het geld. Als kind vroeg ik me ook af waarom we zouden betalen, dat merkten ze toch niet? Daar hebben mijn ouders in gecorrigeerd en juist in opgevoed. (en zo oud ben ik nog niet eens)

De maatschappij is gewoon langzaam aan het verrotten, alles moet maar mogen als het kan, er staan geen kraampjes meer langs de weg, want ouders voeden hun (script)kiddies niet meer op.

Zoop @Kurai Hoshi • 23 mei 2011 14:26

Het is inderdaad 'normaal' dat als je tegenwoordig een kraampje langs de weg zal zetten, dat het gewoon gejat wordt, ipv netjes betaald. En het is erg jammer dat het 'normaal' is. Maar het is ook niets nieuws, dus zal je er toch zeker tegen moeten weren (de hele kraam wordt constant gejat, terwijl hij heel simpel aan een paaltje vast te maken is).

Randal @CopperCAT • 23 mei 2011 14:12

Inderdaad een hele rare opmerking van jouw zijde?!
Omdat Sony zijn beveiliging niet op orde heeft, is het dus niet meer respectloos om in te breken en de gegevens van duizenden gebruikers op straat te gooien?

Getuige de reacties vind ik nog het ergste dat mensen dit gedrag blijkbaar niet veroordelen, omdat het zogenaamd zou worden uitgelokt. Natuurlijk valt Sony te verwijten dat het steken laat liggen mbt beveiliging, maar wat is het nut/ gewin van 'het op straat gooien' van al die persoonlijke gegevens?
Ik kan me persoonlijk niks anders bedenken, dan dat hier bewust schade toe wordt gebracht aan anderen en dat vind IK respectloos...

Blokker_1999

Privacy

@Alpha89 • 23 mei 2011 10:06

SCE en Sony BMG mogen dan wel de naam Sony dragen maar hebben uiteindelijk zeer weinig met elkaar gemeen. Het zijn 2 aparte bedrijven die onder eenzelfde holding zitten.

Verwijderd 23 mei 2011 09:45

*** hackers moeten eens ophouden. Prima dat ze een bedrijf aanvallen maar val dan het bedrijf aan en betrek de consument er niet bij.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 00:35]

watercoolertje @Verwijderd • 23 mei 2011 09:57

Een bedrijf aanvallen zorgt er altijd voor dat de klanten (direct danwel indirect) de dupe zijn, helaas pindakaas, hoop dat er weer veel mensen boos worden op sony en voglende keer een xbox kopen of een Samsung tv!

donny007 @watercoolertje • 23 mei 2011 10:23

Beter was geweest als de hacker Sony erop WEES dat er gaten in de beveiliging zaten, geef ze een timeframe met wat druk, mochten ze het niet opgelost hebben, publiceer dan alsnog de details.

Het ongecensureerd op internet gooien van de DB zonder er bij na te denken is alleen om 1) te laten zien: kijk ikke heb Sony gehackt, of 2) de klanten te duperen, in beide gevallen ben je een black-hat hacker/cracker, een crimineel. (H)ac(k)tiviste is het ook niet, het hele GeoHot/OtherOS verhaal heeft niets meer te maken met deze cracks, dit zijn puur criminele aanvallen.

Als je trouwens wil weten hoe "hackbaar" je eigen infrastructuur is, laat er is een tooltje als Nessus op los, je zult je verbazen van het aantal gevonden vulnerabilities...

[Reactie gewijzigd door donny007 op 23 juli 2024 00:35]

Verwijderd @donny007 • 23 mei 2011 10:39

Precies, dat is wat ik aan probeer te geven. Ik heb op zich niets tegen hackers. Kan begrijpen wat ze doen en waarom ze het doen. Maar dit soort criminele hackers heb ik wel een probleem mee.

Wat je zegt kan ik me prima in vinden. een timeframe geven en druk zetten is niet mis mee. Daarmee stimuleer je het bedrijf een oplossing te zoeken. Wat er momenteel bij sony gebeurt kan ik geen enkel bedrijf toewensen. Hier is geen sprake van een stimuland. Hier is sprake van puur digitaal vandalisme en diefstal.

Verwijderd @watercoolertje • 23 mei 2011 10:19

Ik ben het totaal niet met je eens. Sony is een goed bedrijf en ja sommige zaken hadden beter beveiligd moeten worden. Maar ik vindt dat sony nog altijd hogere kwaliteit levert qua apparatuur en software dan de door jou genoemde merken. Dat ze nu de dupe zijn van een stel criminelen (want dat zijn het gewoon), neemt dit niet weg. Ik zal dan ook Sony producten blijven kopen en steunen.

En niet om de fanboy uit te hangen maar Sony gaat met een stuk meer respect met zijn klanten om dan Microsoft. Microsoft brengt een half gebakken product uit om de concurrentie voor te zijn (XBOX 360) waar Sony deze perfectioneert.

Ik steun dan ook liever een bedrijf dat onwillig een fout heeft begaan dan een bedrijf dat bewust een incompleet product op de markt brengt.

Verwijderd 23 mei 2011 10:07

Het is natuurlijk lastig als jou gegevens er ook tussen zitten maar ik ben blij dat dit, op zo'n grote schaal, eens gebeurd.

Het is dat Sony nu het doelwit is en dat Sony steeds de klappen moet verduren maar het had net zo goed een Philips of een Nintendo kunnen zijn. Ik hoop dat iedereen hier een wijze les uit kan trekken, door "administratortje" te spelen en updates installeren kom je er niet, er is meer nodig om een echt veilig netwerk op te zetten.

Netrunner @Verwijderd • 23 mei 2011 10:10

Ik ben het oneens met je beredenering. Dus omdat Sony haar beveiliging niet netjes heeft geregeld hebben Phillips en Nintendo dit direct ook?

Verwijderd @Netrunner • 23 mei 2011 10:17

Ik zeg niet dat, dat het geval is. Ik zeg alleen dat het zo zou kunnen zijn. Wat een goede reden is om voorzichtig te zijn met je gegevens en diensten die je verplichten NAW gegevens af te staan in twijfel te nemen.

Verwijderd 23 mei 2011 09:38

Ik ben geen Sony-gebruiker, maar als ik een playstation zou hebben gekocht dan zou ik met Sony toch wel het idee hebben dat die veilig met mijn gegevens zouden omgaan. Na alle verhalen van de afgelopen weken ben ik toch ernstig teleurgesteld in de beveiliging van Sony en waarschijnlijk een hele rits van andere bedrijven waarvan we voorlopig nog geen negative verhalen horen.
In ieder geval is dit voor mij een goede les, ik neem aan dat bij Sony er ook een aantal mensen zijn wakker geworden.

-Tom @Verwijderd • 23 mei 2011 09:54

Ik denk dan ook dat Sony een zeer gewild doelwit onder hackers is geworden. Er was al de nodige wrok jegens Sony naar aanleiding van de zaak Geohot-Sony. Nadat hackers hebben gezien dat het neerhalen van het hele PSN een mogelijkheid was, zijn ze actief aan de slag gegaan met andere websites van Sony, onder het motto "de beveiliging steekt toch niet goed in elkaar". Het zou mij niks verbazen als andere multinationals ook kampen met zulke problemen.

twooggy @Verwijderd • 23 mei 2011 09:50

Zoals je al zegt, een hele rits andere bedrijven.

Volgens mij is het zo dat als het uit enen en/of nullen bestaat het uiteindelijk te kraken is. Voor echte beveiliging heb je hardware nodig.

actionInvoke 23 mei 2011 09:46

Hoe kan sql injection vandaag de dag nog mogelijk zijn? Waarom kiezen developers er niet voor om universele sql handler classes te maken zodat het altijd overal op de site goed wordt afgehandeld. Echt onbegrijpelijk.

Netrunner @actionInvoke • 23 mei 2011 10:02

Luie programmeurs die daar blijkbaar geen aandacht aan besteden en het motto: "Ach ons gebeurt het toch niet" gaan hanteren. Ik denk dat de topmannen van sony eens goed rondom de tafel moeten gaan zitten en eens Security als hoofdonderwerp gaan nemen. Want is toch werkelijk waar schan-da-lig. Ik wil er best op wedden dat de zogenoemde hackers nog een sony server te pakken gaan krijgen.

harmen[L]romy schreef:

Elk bedrijf heeft zo zijn zwakke punten en zodra je weet hoe je er gebruik van kan maken, kan je dus ieder willekeurig bedrijf uitkiezen die je zelf leuk vind.

Sony heeft het op dit moment wel zwaar te voorduren door alle aanvallen die op hun gericht zijn. Verder is het wel de fout van hun zelf dat ze gegevens zo slecht beveiligen. Daar heb ik alsnog wel mijn vragen maar je kan toch speciaal bedrijven in huren die zijn gespecialiseerd in het beveiligen van gebruikers data en dergelijke?

Nee ik ben het niet mee eens dat elk bedrijf zo zijn of haar zwaktepunten heeft. Een wereldbedrijf als Sony zou dan toch haar beveiliging toch op een van de eerste plaatsen moeten zetten. Veel mensen zien Sony nu flink onderuit gaan door meerdere security problemen. Als Sony niet snel alle diensten, servers of data controleert op huidige beveiliging dan gaan alle hackers wel even de fun draaien en kijken wat er te hacken valt bij Sony.

Natuurlijk kan ik het een en andere frustratie begrijpen omdat Sony de ps3 crack/hack is tegengegaan en dit dan de reden is waarom de hackers furieus reageren op Sony.

Ik heb verder ook nergens gelezen dat Sony de hackers vervolgt of überhaupt getracht heeft om deze hackers te achterhalen. Of heb ik dit mis?

FreezeXJ @Netrunner • 23 mei 2011 10:11

Pas op he, security kost geld, en als het doel is zoveel mogelijk winst te maken, kan het best dat een of andere knakker besloten heeft om een paar honderd uur werk te besparen, en aldus geld te verdienen. Totdat het getest wordt, en er consequenties staan op het afleveren van sites met gaten vermoed ik dat dit soort dingen schering en inslag blijven. Zeker zolang de kennis van IT-beveiliging bij hoger management onder het vriespunt blijft.

Verwijderd @Netrunner • 23 mei 2011 10:31

Luie programmeurs?

Programmeurs willen best wel 1000 uur d'r in steken hoor, ze bouwen een systeem en willen daar trots op (kunnen) zijn. Helaas is het loon van de gemiddelde programeur een beetje te hoog om zomaar 1000 uur te kunnen verantwoorden tov. jouw onwetende baas.

SQL-injecties kunnen bij een heel, heeeeel groot deel van alle sites worden toegepast. Zeker als je geautomatiseerd gaat zoeken kan je binnen een week al >100 sites kraken en database dumps gaan maken. Sure, dit is vrijwel allemaal heel eenvoudig te voorkomen.

Het nadeel is alleen dat je het maar één keer hoeft te vergeten/verkeerd te doen, en het systeem is al lek. Tweede nadeel is dat jij er vaak niet als eerste achterkomt...

Vergeet niet dat dergelijke systemen vele duizenden regels code hebben, veel onderlinge uitwisselingen van gegevens, veeeeeel user input hebben, vertrouwen op third party software (bv. bankgegevens met IDEAL, MasterCard, etc.). Dat is nauwelijks goed beveiligd te krijgen.

Sony zal vast proberen om ze te pakken te krijgen! Denk nou even in; wat zou jij zelf doen!? Als je het hele nieuws had gevolgd, had je gelezen dat ze de FBI hebben ingeschakeld. Die halen ze d'r echt niet bij voor de koffie hoor...

dotnetpower @Verwijderd • 23 mei 2011 10:54

Het nadeel is alleen dat je het maar één keer hoeft te vergeten/verkeerd te doen, en het systeem is al lek. Tweede nadeel is dat jij er vaak niet als eerste achterkomt...

1 van de redenen om gebruik te maken van een goeie wrapper class (al dan niet zelf geschreven) zodat je die fout nooit kan maken, maargoed ik kom dit soort domme fouten inderdaad vaak tegen bij projecten die gemaakt zijn door "programmeurs" die zijn blijven hangen in het procedurele code tijdperk.

Enkele maanden terug nog een project aangepast uit 2007 waarbij men schijnbaar dacht dat het gebruik van magic_quotes / register globals en plain opslaan van wachtwoorden veilig was

[Reactie gewijzigd door dotnetpower op 23 juli 2024 00:35]

Xthemes.us @Netrunner • 23 mei 2011 11:55

Van een paar instellingen waarvan ik weet dat de security niet op orde is ligt de schuld echt niet bij de programmeurs, die hebben allang aangegeven dat de boel zo lek als een mandje is. Degene die er geld aan moet besteden is vaak de persoon die zegt "maar niemand doet dat toch, urls aanpassen".

Ook zijn er zat sites welke ergens rond het jaar 2000 zijn opgericht en waar hoogstens nadien wat dingen aan zijn toegevoegd.. de security heeft nog nooit een probleem opgeleverd dus waarom dan er geld aan besteden? Bestaande codebase 'moderniseren' naar de best practices van vandaag kan een aardige duit kosten. Een beetje als je deur vast zetten met een touwtje omdat een degelijk slot te duur is.

Justin013 23 mei 2011 10:08

Ik snap 'm niet, wel wachtwoorden en gebruikersnamen uit een database van Sony trekken, maar geen muziek?

Ik zou persoonlijk voor die laatste gekozen hebben.

Verwijderd @Justin013 • 23 mei 2011 11:07

ja lekker, vol met DRM en rootkits (grapje!)

Malantur

23 mei 2011 09:38

Dit begint toch wel verdacht te worden.. Zou dit nog altijd te maken hebben met het verwijderen van OtherOS? Ik kan me niet inbeelden dat iedereen toevallig Sony heeft gekozen om te pesten.

Foxpat @Malantur • 23 mei 2011 09:39

Ik denk dat dat ergens wel de aanleiding was. En van het een komt het ander.

Verwijderd @Malantur • 23 mei 2011 10:12

Sony was al langer het schoolvoorbeeld van klanten niet gelijk te behandelen; commercieel uitmelken en closed property; regelmatige massive failures (batterijprobleem hier, ander hardware probleem daar, ...). Dan moet je niet gaan verwachten dat ze een ondersteunende community hebben.

Buiten hun audio- en videodivisie mag het bedrijf gerust crashen imo. Go hackers!

Verwijderd 23 mei 2011 09:58

Ben ik de enige die het apart vind, dat de 'secret question and answer' open en bloot in de server staan? Die zou je toch ook best kunnen hashen en dat vergelijken met de ingevulde informatie? Dan zou de sql-injection in dit geval geen gevolgen hebben gehad.

Of bekijk ik het door een (te) gekleurde bril?

Rutix @Verwijderd • 23 mei 2011 10:12

Zowiezo zou een SQL-injectie niet mogelijk moeten zijn bij een bedrijf zoals Sony. Vandaag de dag is het zo makkelijk om het zo te programmeren dat er geen SQL-injectie mogelijk is. Dit is gewoon een geval van luie programmeurs die waarschijnlijk denken dat het toch nooit zou gebeuren. Maar als ze de data gewoon hadden gehashed met een salt dan was de schade tenminste wat beperkt.

Avdo 23 mei 2011 10:23

Volgens mij heeft Sony een groot aantal slapende honden wakker gemaakt door hun harde optreden tegen de PS3 'hackers' die bezig waren het platform open te maken...

Hoewel ik illegale activiteiten niet kan promoten, is dit een kwestie van karma imo.
Wel raar dat SonyEricsson juist open is met zijn telefoons, terwijl Sony een compleet andere houding aanhoudt betreft zijn PS en muziek afdeling... Natuurlijk gaat het om compleet andere afdelingen met andere mensen, maar je zou toch een enigszins gemeenschappelijke open dan wel gesloten karakter verwachten van een bedrijf...

Ik vraag me af of Apple nog een keer op deze manier belaagd gaat worden, ik vermoed dat zij ook hun borst nat kunnen maken mochten ze besluiten het Jailbreak-team actief te gaan vervolgen.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (113)

Sorteer op:

Weergave: