Das wird langsam zum Volkssport, nach dem Motto: Jeder darf mal Sony hacken. Aber gestern Nacht ist es wahrscheinlich wieder passiert: Die Hackergruppe Lulz Security gibt vor, bei SonyPictures „eingebrochen“ und 1 Million Kundendaten gestohlen zu haben. Der Aufwand dafür sei minimal gewesen. Man habe das mit einer einfachen SQL-Injection getan, dem Einschleusen eigener Befehle in die SQL-Datenbank des Opfers. Allein dieser einfache, einmalige Einbruch habe alle Datensätze zu Tage gefördert.
Beispiele der Datensätze hat die Hackergruppe in einer RAR-Datei im Internet veröffentlicht, 39.000 E-Mail-Passwort-Kombination und 12.500 weitere Kundendaten mitsamt Geburtsdatum, Passwort, Anschrift und E-Mail. Inzwischen ist die Website der Lulz Security offline. Noch ist unklar, ob sie abgeschaltet wurde oder nur in die Knie ging. Blogs wie Engadget und Thisismynext konnten die RAR-Datei noch rechtzeitig herunterladen und halten die Datensätze darin für echt. SonyPictures hatte sie unverschlüsselt bei sich gespeichert. Laut Corina Hunziker vom GameCity ist das eine geplante Katastrophe: Die Gruppe hatte vor wenigen Tagen das Ende von Sony angekündigt.
Ich weiß nicht, wie es euch geht, aber ich hab langsam aufgehört zu zählen, wie oft bei Sony in den vergangenen Wochen Kundendaten ausgespäht wurden. Es begann mit dem Hack des Playstation Networks (PSN) und Qriocity gefolgt von Sony Online Entertainment. Eine weitere Sicherheitslücke, bei der angeblich nichts passiert war, offenbarte sich beim Wiederhochfahren des PSN: Man hätte die ausgespähten Datensätze dazu verwenden können, um sich unter fremder Identität anzumelden. Mitte Mai wurden bei Sony Thailand italienische Kreditkartendaten ausgespäht, Vergangene Woche wurde dann auch Sony BMG in Griechenland gehacked.
Eine SQL-Injection wie jetzt SonyPictures traf vergangenen Woche auch das Jointventure Sony-Ericsson in Kanada. Lulz Security sind jetzt die ersten, die ausgespähte Datensätze auch im Web veröffentlichten. Neben dem Hack bei SonyPictures haben die Aktivisten nach eigenen Angaben auch verschiedene Daten der Kunden von Musikgutscheinen erspäht und weitere Datensätze eine Admin-Datenbank für Sony BMG in Belgien. Habe ich was vergessen? Gut möglich! Sony kommt aus dem Tal der Tränen nicht mehr heraus.
Besonders schade ist das für die Japaner, weil das Playstation Network eigentlich heute in Deutschland und einigen anderen Ländern wieder vollends an den Start gehen sollte. Werft den ersten Stein, wenn bei euch zuhause oder in der Firma alles restlos sicher ist. Aber was Sony zur Zeit erlebt, ist ein Alptraum, aus dem man nicht mehr aufwacht. Mehrere Hacker für eher harmlose Urheberrechtsverstöße vor Gericht zu zerren, wie Sony das in der jüngeren Vergangenheit getan hat, war wohl ganz offensichtlich die falsche Strategie.
(Jürgen Vielmeier)
