[NEWS]Sony pictures piraté: 1 million de comptes/mots de passe dans la nature : News - PS3-Infos

[Attila]

Le site Sony Pictures a été piraté, et ainsi 1 million d'informations personnelles, comprenant les mots de passes non encryptés se retrouvent dans la nature.
Le groupe responsable de ce piratage est LulzSec et a utilisé une simple attaque d'injection SQL pour ainsi récupérer un maximum de données, y compris tous les mots de passe de l'administration de Sony !

---

Voici le communiqué de LulzSec (note: les liens sont censurés) :

Code: Tout sélectionner

LulzSec versus Sony Pictures

[enjoy your free traffic you crazy bastards pastebin]

DOWNLOAD HERE: ********
If it's been taken down, use our official website: ******


. /$$                 /$$            /$$$$$$                     
.| $$                | $$           /$$__  $$                   
.| $$       /$$   /$$| $$ /$$$$$$$$| $$  \__/  /$$$$$$   /$$$$$$$
.| $$      | $$  | $$| $$|____ /$$/|  $$$$$$  /$$__  $$ /$$_____/
.| $$      | $$  | $$| $$   /$$$$/  \____  $$| $$$$$$$$| $$     
.| $$      | $$  | $$| $$  /$$__/   /$$  \ $$| $$_____/| $$     
.| $$$$$$$$|  $$$$$$/| $$ /$$$$$$$$|  $$$$$$/|  $$$$$$$|  $$$$$$.$
.|________/ \______/ |__/|________/ \______/  \_______/ \_______/
                          //Laughing at your security since 2011!

.--    .-""-.
.   ) (     )
.  (   )   (
.     /     )
.    (_    _)                     0_,-.__
.      (_  )_                     |_.-._/
.       (    )                    |lulz..\   
.        (__)                     |__--_/           
.     |''   ``\                   |
.     | [Lulz] \                  |      /b/
.     |         \  ,,,---===?A`\  |  ,==y'
.   ___,,,,,---==""\        |M] \ | ;|\ |>
.           _   _   \   ___,|H,,---==""""bno,
.    o  O  (_) (_)   \ /          _     AWAW/
.                     /         _(+)_  dMM/
.      \@_,,,,,,---=="   \      \\|//  MW/
.--''''"                         ===  d/
.                                    //   SET SAIL FOR FAIL!
.                                    ,'_________________________
.   \    \    \     \               ,/~~~~~~~~~~~~~~~~~~~~~~~~~~~
.                         _____    ,'  ~~~   .-""-.~~~~~~  .-""-.
.      .-""-.           ///==---   /`-._ ..-'      -.__..-'
.            `-.__..-' =====\\\\\\ V/  .---\.
.                     ~~~~~~~~~~~~, _',--/_.\  .-""-.
.                            .-""-.___` --  \|         -.__..-
       

Greetings folks. We're LulzSec, and welcome to Sownage. Enclosed you will
find various collections of data stolen from internal Sony networks and websites,
all of which we accessed easily and without the need for outside support or money.

We recently broke into SonyPictures.com and compromised over 1,000,000 users'
personal information, including passwords, email addresses, home addresses,
dates of birth, and all Sony opt-in data associated with their accounts.
Among other things, we also compromised all admin details of Sony Pictures
(including passwords) along with 75,000 "music codes" and 3.5 million "music coupons".

Due to a lack of resource on our part (The Lulz Boat needs additional funding!)
we were unable to fully copy all of this information, however we have samples
for you in our files to prove its authenticity. In theory we could have taken
every last bit of information, but it would have taken several more weeks.

Our goal here is not to come across as master hackers, hence what we're about
to reveal: SonyPictures.com was owned by a very simple SQL injection, one of
the most primitive and common vulnerabilities, as we should all know by now.
From a single injection, we accessed EVERYTHING. Why do you put such faith in
a company that allows itself to become open to these simple attacks?

What's worse is that every bit of data we took wasn't encrypted. Sony stored
over 1,000,000 passwords of its customers in plaintext, which means it's just
a matter of taking it. This is disgraceful and insecure: they were asking for it.

This is an embarrassment to Sony; the SQLi link is provided in our file contents,
and we invite anyone with the balls to check for themselves that what we say
is true. You may even want to plunder those 3.5 million coupons while you can.

Included in our collection are databases from Sony BMG Belgium & Netherlands.
These also contain varied assortments of Sony user and staffer information.

Follow our sexy asses on twitter to hear about our upcoming website. Ciao! ^_^

Ce qui est vraiment honteux de la part d'une entreprise comme Sony est ici le fait que les mots de passe ne soient pas encryptés !
Il s'agit d'une opération classique de hasher les mots de passe dans la base de données, pour justement éviter de perdre ces données en cas de piratage.
Sony apparemment n'a pas mis en place cette mesure de protection sur son site Sony Pictures (http://www.sonypictures.com/).

Pour rappel, pour le piratage du PSN, tous les mots de passes étaient hashés, et donc théoriquement protégés.

LulzSec a fourni divers fichiers contenant des coupons de réductions, des comptes d'utilisateurs et d'administrateurs, mais il ne s'agit pas d'un export complet étant donné que ça prendrait des semaines pour exporter le million de comptes ou les 3.5 millions de coupons.

Voici une image censurée montrant un des fichiers avec les comptes administrateurs de Sony Belgique :

[bidulos12]

En même temps LulzSec avais prévenu SONY via twitter en annonçant une attaque contre la firme et ce le 29 mai pour preuve le liens : http://twitter.com/#!/LulzSec/status/74932233550569472
#Sownage (Sony + Ownage) Phase 1 will begin within the next day. We may have a pre-game show for you folks though. Stay tuned. 29 Mai via web et ici : http://twitter.com/#!/LulzSec/status/75489095371079680
Hey @Sony, you know we're making off with a bunch of your internal stuff right now and you haven't even noticed? Slow and steady, guys. 31 Mai via web
On peut y voir que le groupe n'a pas froid aux yeux et se vante publiquement et prévienne avant de passer à l'attaque, donc contrairement a ce qui est dit dans l'article "mais il ne s'agit pas d'un export complet étant donné que ça prendrait des semaines pour exporter le million de comptes ou les 3.5 millions de coupons" il ont très bien pu avoir le temps de tout piquer depuis le 31 mai, surtout si il avais à disposition pour leur attaque une très grande vitesse de connexion et que les serveur attaqués en ont une également. En bref ce groupe n'a pas envie de lâcher SONY de sitôt, et les utilisateur de SONY quel qu'il soit n'ont pas fini d'avoir peur et surtout de trinquer dans cette guerre de bas étage que ce groupe entreprend. Moi ça me dégoute autant je comprend qu'on veuille remettre other os sur la PS3 car SONY l'a retiré sans raison valable, pénalisant les utilisateurs à qui ça servait, mais autant la s'en prend à tout les sites de SONY tout azimut est ridicule

[Attila]

j'ai juste répété une info présente dans leur déclaration sur l'export incomplet ^^

however we have samples
for you in our files to prove its authenticity. In theory we could have taken
every last bit of information, but it would have taken several more weeks.

[bidulos12]

Désolé Attila, j'avais pas vu ces explication de la team LulzSec. En tout cas eux sont accroché à leur combat contre SONY et j'espère qu'il seront stopper parce que la il y a plus rien de compréhensible ni même de légitime à part la volonté de faire chier et faire du profit

[picsougrip]

qu'ils continuent à les faire chier
ça leur fait les pieds
et ça leur apprendra à se croire supérieur
c'est une leçon de vie qu'ils leur donnent

[Attila]

ouais, s'ils n'avaient pas voulu jouer les durs et de faire des actions en justice juste pour faire peur, je suis sur que ces attaques n'auraient pas eu lieu et ils auraient pu éviter la perte de millions de $