Sonstiges

Sony erneut gehacked, womöglich 1 Million Kundendaten ausgespäht

Das wird langsam zum Volkssport, nach dem Motto: Jeder darf mal Sony hacken. Aber gestern Nacht ist es wahrscheinlich wieder passiert: Die Hackergruppe Lulz Security gibt vor, bei SonyPictures „eingebrochen“ und 1 Million Kundendaten gestohlen zu haben. Der Aufwand dafür sei minimal gewesen. Man habe das mit einer einfachen SQL-Injection getan, dem Einschleusen eigener Befehle in die SQL-Datenbank des Opfers. Allein dieser einfache, einmalige Einbruch habe alle Datensätze zu Tage gefördert.

Beispiele der Datensätze hat die Hackergruppe in einer RAR-Datei im Internet veröffentlicht, 39.000 E-Mail-Passwort-Kombination und 12.500 weitere Kundendaten mitsamt Geburtsdatum, Passwort, Anschrift und E-Mail. Inzwischen ist die Website der Lulz Security offline. Noch ist unklar, ob sie abgeschaltet wurde oder nur in die Knie ging. Blogs wie Engadget und Thisismynext konnten die RAR-Datei noch rechtzeitig herunterladen und halten die Datensätze darin für echt. SonyPictures hatte sie unverschlüsselt bei sich gespeichert. Laut Corina Hunziker vom GameCity ist das eine geplante Katastrophe: Die Gruppe hatte vor wenigen Tagen das Ende von Sony angekündigt.

Ich weiß nicht, wie es euch geht, aber ich hab langsam aufgehört zu zählen, wie oft bei Sony in den vergangenen Wochen Kundendaten ausgespäht wurden. Es begann mit dem Hack des Playstation Networks (PSN) und Qriocity gefolgt von Sony Online Entertainment. Eine weitere Sicherheitslücke, bei der angeblich nichts passiert war, offenbarte sich beim Wiederhochfahren des PSN: Man hätte die ausgespähten Datensätze dazu verwenden können, um sich unter fremder Identität anzumelden. Mitte Mai wurden bei Sony Thailand italienische Kreditkartendaten ausgespäht, Vergangene Woche wurde dann auch Sony BMG in Griechenland gehacked.

Eine SQL-Injection wie jetzt SonyPictures traf vergangenen Woche auch das Jointventure Sony-Ericsson in Kanada. Lulz Security sind jetzt die ersten, die ausgespähte Datensätze auch im Web veröffentlichten. Neben dem Hack bei SonyPictures haben die Aktivisten nach eigenen Angaben auch verschiedene Daten der Kunden von Musikgutscheinen erspäht und weitere Datensätze eine Admin-Datenbank für Sony BMG in Belgien. Habe ich was vergessen? Gut möglich! Sony kommt aus dem Tal der Tränen nicht mehr heraus.

Besonders schade ist das für die Japaner, weil das Playstation Network eigentlich heute in Deutschland und einigen anderen Ländern wieder vollends an den Start gehen sollte. Werft den ersten Stein, wenn bei euch zuhause oder in der Firma alles restlos sicher ist. Aber was Sony zur Zeit erlebt, ist ein Alptraum, aus dem man nicht mehr aufwacht. Mehrere Hacker für eher harmlose Urheberrechtsverstöße vor Gericht zu zerren, wie Sony das in der jüngeren Vergangenheit getan hat, war wohl ganz offensichtlich die falsche Strategie.

(Jürgen Vielmeier)

Über den Autor

Jürgen Vielmeier

Jürgen Vielmeier ist Journalist und Blogger seit 2001. Er lebt in Bonn, liebt das Rheinland und hat von 2010 bis 2012 über 1.500 Artikel auf BASIC thinking geschrieben.

16 Kommentare

  • Das nimmt ja wirklich kein Ende mehr. Da hätte Sony wohl besser die PS3 offen lassen sollen und nicht die Hacker herausfordern sollen und somit wütend werden lassen. Nun bekommen Sie die Quittung dafür und alle stürzen sich auf den Konzern und suchen Sicherheitslücken. Ich bin gespannt wie Sony sich da noch retten kann.

  • Sehr sehr tragisch an dieser Geschichte finde ich, dass es mit „hacken“ rein garnix mehr zu tun hat. Durch den ursprünglichen Angriff, ist Sony derart in den Mittelpunkt gerückt, dass es sehr viele Trittbrettfahrer gibt, die mit einfachsten Tricks arbeiten. Leider ist das kein Problem von Sony, sondern ein generelles. Es gibt zahlreiche Seiten im Netz, bei denen einfachste Tricks reichen um an sensible Daten zu gelangen.

    Ich habe einem Personalvermittler mal all seine Kundendaten geschickt. Waren über das bloße ändern der URL erreichbar. Hat die in keiner Weise interessiert. Statt das Problem zu beseitigen, hat man versucht mir ans „Bein zu pinkeln“. Ging sogar vors Gericht. Während dieser Zeit (2-3 Monate) war die „Lücke“ immer noch offen!

  • @Miles: Wie ist es ausgegangen? Vom Prinzip hast du ja eigentlich nur eine normale öffentliche URL angesteuert. Dafür kann man doch niemanden bestrafen?! Ist denn die Lücke inzwischen wenigstens geschlossen?

  • Ganz im Ernst, das kann nicht sein!!! Ein weltweites Unternehmen lässt sich so einfach hacken. Blamage! Bei der IT muss schnellstens nachgeholfen werden.

  • Ich bin gerade in einer ähnlichen Situation wie @Miles.

    Ich hab mich etwas mit Cross Side Script-Lücken beschäftigt. Das heißt man kann Scripte in die Seiten einbauen. Damit kann man über deren Seite eine Phishingseite bauen oder Login-Informationen klauen, wenn jemand auf den präparierten Link klickt.

    Ich finde so viele, dass ich kaum nachkomme. Deshalb mache ich nur noch eine Seite am Tag. Dauert ungefähr 5-10 Minuten. Ich bin mittlerweile bei 11 Seiten. Europäisches Parlament, Deutsche Bahn, Parlament der Nato, … Anderswo sieht es bestimmt genauso aus. Die Betreiber informiere ich auch direkt, aber allergisch reagieren alle auf meine Demo-Videos der Lücken.

    Die Sicherheit der Seiten ist einfach nur unter aller Kanone. Ich will gar nicht prüfen ob man per SQL-Injection was mache kann. Da hat man wahrscheinlich schnell eine Datenbank in der Hand und das ist garantiert illegal. Dass man immer auf den „bösen Finder“ haut bringt der allgemeinen Sicherheit auch nicht viel.

    Ich muss jetzt erst mal schauen was ich mache ohne das jemand denkt, das wär illegal. XSS-Lücken sind es nämlich nicht. Bei der Prüfung auf XSS passiert auch nicht viel. Es sei denn man nutzt sie aktiv aus.

  • Ich behaupte jetzt mal, dass Sony sich 90% aller „Angriffe“ der letzten Wochen und Monate gespart hätte, wenn sie rechtzeitig die Funktion „Other OS“ in ihre PS3-Firmware wieder eingebaut hätte.
    Letztendlich war das doch wohl der Grund für das aughacken der PS3 und damit der allgemeine Hass der „Hacker“ auf Sony.

    Fragt sich nur warum Sony die Funktion nicht schon wieder eingeführt hat. So schlechte Marketingexperten können die doch nicht haben, oder?

  • Es ist einfach traurig zu sehen, wie mit Kundendaten umgegangen wird. Den Firmen wäre das Ganze eh egal, würde es nicht ihr Image schädigen.
    Trotzdem auch schlimm genug, dass diese „Kriminalität“ immer verbreiteter ist.

  • Bye Bye. Nur gut, dass die keine Daten von mir haben, sonst könnte ich sie gleich als Google Ad veröffentlichen. Die Typen, die für die Sicherheit verantwortlich sind sollte man wohl wegen schwerer Fahrlässigkeit einsperren. Unverschlüsselte Passwörter und Emailadressen – ok Email-adressen kann man nicht gut per md5 verschlüsseln weil man vielleicht auch mal ne mail senden will, aber man könnte sie zumindest mit nem eigenen Algorithmus reproduzierbar verschlüsseln. Lernt doch jetzt schon jedes PHP-Kid, dass man Passwörter nicht klartext in ne DB schiebt.

  • Das ganze landete vor Gericht. Mir wurde vorgeworfen, ich sei in deren System eingedrungen und hätte dabei Schutzmaßnahmen ausser Kraft gesetzt. Ich musste einem Gutachter zeigen, dass ich lediglich Nummern in einer URL verändert habe um an sämtliche Kundendaten zu kommen. Dem Personaldienstleister hatte ich sofort ne Mail geschrieben, dass diese Lücke besteht und das es mir durch Zufall aufgefallen ist.

    Selbst der Richter hat mit dem Kopf geschüttelt und dem Personaldienstleister ordentlich was erzählt. Wurde selbstverständlich abgewiesen. Die Lücke bestand während der Zeit weiterhin.

  • Das Problem für Sony dürfte aber nun auch sein, dass es in der Kackerszene sozusagen nun Inn ist bzw. ein Challenge, deren Seiten und Server zu knacken. Da will nun niemand zurück stehen.

    Sony auf der anderen Seite verkennt hier offenbar den öffentlichen Schaden für das eigene Unternehmen und geht mit viel zu wenig Elan dagegen vor, wie man immer wieder aufs neue feststellen muss.

  • Vielleicht sollte man das Passwort das man im PSN verwendet hat, nicht unbedingt auch für alle anderen Webdienste nutzen … ich will nicht wissen, wie viele da genau ein Passwort am Start haben …