Erneuter Einbruch in Sony-Server

Die Hackergruppe LulzSec ist nach eigenen Angaben in mehrere Sony-Websites eingebrochen und hat über eine Million Kundendaten kompromittiert. Sie machte damit eine Ankündigung vom vergangenen Wochenende wahr.

Als Beweis für ihren Einbruch veröffentlichten die Hacker per Twitter Links zu Teilen der gestohlenen Daten aus Sonys internem Netzwerk sowie den Websites von Sony Pictures, Sony Music Belgien und Sony Music Niederlande.

“Wir sind in SonyPitcures.com eingebrochen und haben uns Zugang zu persönlichen Daten von mehr als einer Million Nutzern verschafft, darunter Passwörter, E-Mail-Adressen, Adressen, Geburtsdaten und alle freiwillig gemachten Angaben zu ihrem Konto”, schreibt LulzSec auf Pastebin.com. Außerdem habe man alle Administrator-Details von Sony Pictures, inklusive Passwörtern, sowie 75.000 Musik-Codes und 3,5 Millionen Musik-Coupons erbeutet.

Der Gruppe stehen nach eigenen Angaben keine ausreichenden Ressourcen zur Verfügung, um alle gefundenen Daten zu kopieren. Sie behauptet, sie hätte noch mehr Daten stehlen können, wofür sie aber mehrere Wochen benötigt hätte.

Für den Einbruch in SonyPictures.com sei nur eine einzelne SQL-Injection erforderlich gewesen, so LulzSec weiter. “Was noch schlimmer ist: Alle Daten waren nicht verschlüsselt. Sony hat mehr als eine Million Passwörter im Klartext gespeichert. Das ist schändlich und unsicher.” Sony habe den Einbruch damit praktisch selbst herausgefordert.

Der Sicherheitsexperte E.J. Hilbert, Präsident von Online Intelligence und früherer FBI-Mitarbeiter im Bereich Cybercrime, befürchtet, dass sich aus dem Einbruch Möglichkeiten für Identitätsdiebstahl sowie Spammer ergeben. “Anschriften und Telefonnummern sind noch mehr Informationen, die von Kriminellen verwendet werden können, um Konten zu entführen.”

Für Beth Givens, Direktorin von Privacy Rights Clearinghouse, sind die Attacken ein möglicher Hinweis auf lasche Sicherheitsvorkehrungen bei Sony. “Die wiederholten Angriffe auf Sony sind eine Lehrstunde für alle Unternehmen”, sagte sie. “Sony hat mitgeteilt, es verwende Industriestandards für seine Sicherheit. Wenn das wahr ist, dann ist es vielleicht Zeit, diese neu zu bewerten und darüber hinaus zu gehen.”

Die Angriffsserie auf Sony reißt nicht ab: Im April hatte der Elektronikkonzern den Verlust persönlicher Daten von mehr als 100 Millionen Kunden des PlayStation Network (PSN) und des Multiplayer-Diensts Online Entertainment einräumen müssen. Weitere Ziele waren seitdem Sony Thailand, Sony Music Indonesien, das Tochterunternehmen So-net Entertainment sowie Sony Music Japan und Sony Ericsson Kanada.

Die Hackergruppe LulzSec hatte sich in letzter Zeit auch zu einem Angriff auf zwei Websites von Sony Music Japan bekannt. Ziel sei es gewesen, den Elektronikkonzern zu blamieren. Zudem kaperten sie am vergangenen Wochenende die Website der US-Fernsehsenderkette PBS.