Website của Sony Pictures bị hacker tấn công

Hôm thứ 5, nhóm hacker có tên LulzSec đã truy cập vào máy chủ của SonyPictures.com và đánh cắp dữ liệu cá nhân của 1 triệu khách hàng.

Ông Jeremiah Grossman, Giám đốc Công nghệ của WhiteHat Security cho biết “hacker đã công bố lượng lớn địa chỉ email, tên người dùng và mật khẩu cũng như các mã giảm giá (coupon code). Những ai đăng kí trên trang web này cần chú ý xem dữ liệu của họ có bị công bố hay không”.

“Loại tấn công này lộ ra một trong những lỗ hổng cơ bản các công ty phạm phải trong quá trình quản lý. Họ tập trung bảo vệ trang web chính (như các trang mua sắm) mà không bảo vệ các trang web phụ, và các trang này thường chứa dữ liệu khách hàng quan trọng.” Ông Grossman khá ngạc nhiên khi cho rằng Sony không hề mã hóa các thông tin này và phơi bày thông tin trước những cuộc tấn công khá cơ bản.

Sau vụ tấn công, nhóm hacker LulzSec tuyên bố:

“Mục tiêu của chúng tôi không phải là thể hiện như những hacker lành nghề. Vì thế các bạn có thể thấy rằng: SonyPictures có thể bị tấn công bởi một thủ thuật tấn công SQL đơn giản, một trong những lỗ hổng cơ bản và phổ biến nhất. Từ một lây nhiễm đơn giản này, chúng tôi có thể truy câp mọi thứ. Tại sao lại đặt niềm tin vào một công ty để thông tin của mình bị tiết lộ bởi những cuộc tấn công đơn giản như vậy?

Tệ hơn nữa là mọi dữ liệu chúng tôi thu được đều không được mã hóa. Sony lưu trữ hơn 1.000.000 mật khẩu của khách hàng ở dạng văn bản bình thường (plaintext), có nghĩa là việc lấy mật khẩu không có gì khó khăn. Thật đáng xấu hổ và thiếu an toàn”.

Trong quá trình khôi phục hậu quả sau vụ hacker tấn công PlayStation Network ảnh hưởng tới hàng triệu khách hàng hồi tháng Tư, Sony phải đối mặt với những chỉ trích gay gắt về các lỗ hổng mạng. Sony cuối cùng cũng đưa ra lời hứa rằng vấn đề an ninh PSN đã được cải thiện đáng kể. Nếu những cáo buộc của Lulzsec về Sony là sự thật, hãng này cần xem xét lại các biện pháp an ninh cho tài sản trực tuyến của mình.

Theo báo cáo, Sony tốn hơn 170 triệu USD sau vụ tấn công PSN cho các chi phí bảo hiểm thông tin cho khách hàng, điều tra, và tăng cường an ninh trang web. Hãng còn thuê một Giám đốc về an toàn thông tin (Chief Information Security Officer). Thậm chí Sony vẫn còn quả quyết rằng “không hệ thống nào an toàn 100%”

Ông Grossman cảnh báo “Thật không may, chúng ta có thể sẽ phải đón đợi thêm những cuộc tấn công kiểu này”

Theo Bưu Điện VN