Đến lượt Sony Pictures bị hacker lôi "lên thớt"

LulzSec, một nhóm hacker nổi đình nổi đám gần đây vì "thành tích" tấn công vào PBS, vừa tung ra một tuyên bố "giật gân" không kém: đã đột nhập được vào nhiều website của hãng phim Sony Pictures và truy cập được thông tin cá nhân mã hóa của hơn 1 triệu người dùng.

Trong thông cáo phát đi cách đây ít giờ, LulzSec khẳng định đã tìm được cách để hạ gục và chiếm quyền kiểm soát toàn bộ "thông tin admin", bao gồm cả mật khẩu admin, 75.000 mã nhạc và 3,5 triệu "phiếu mua nhạc" bên trong hệ thống và các website của Sony. Các website bị hạ gục này đã được LulzSec liệt kê công khai, cùng với đường link đến những tài liệu có chứa "thông tin mẫu" mà theo nhóm này, chính là được cuỗm đi từ Sony.

Trong số các cơ sở dữ liệu bị hạ gục bao gồm một cơ sở dữ liệu có chứa thông tin của những người tham gia vào chiến dịch khuyến mại giữa Sony Pictures với AutoTrader, cùng với một cơ sở dữ liệu khác liên quan đến chiến dịch Sắc đẹp Mùa hè do Sony tài trợ. Ngoài ra còn có cơ sở dữ liệu của hãng đĩa Sony BMG tại Bỉ và Hà Lan.

"SonyPictures sử dụng một SQL rất đơn giản - đây chính là sơ hở nguyên thủy và thường gặp nhất. Chỉ cần một quy trình tấn công duy nhất, chúng tôi đã truy cập được vào MỌI THỨ", LulzSEC tuyên bố. "Điều tệ hơn là mọi bit dữ liệu mà chúng tôi lấy được đều không được mã hóa. Sony lưu trữ hơn 1 triệu mật khẩu của khách hàng ở dạng ký tự đơn thuần. Điều này có nghĩa hacker chỉ lấy được là có thể tùy nghi sử dụng".

Hiện LulzSec chỉ mới công bố thông tin mẫu mà nhóm đã truy cập được vào, bởi trên lý thuyết, để có thể chiếm đoạn "không sót một dữ liệu nào" sẽ phải tiêu tốn tới hàng tuần. Nhóm cũng post đường link dẫn tới lỗ hổng SQL mà nhóm đã khai thác, đồng thời mời tất cả mọi người tự mình xác thực câu chuyện.

Trước vụ bê bối mới nhất này, hiện phía Sony chưa đưa ra bất cứ lời giải thích hay bình luận nào. Nhưng nếu đúng vụ xâm nhập của LulzSec là có thật, thì đây sẽ là "thảm họa bảo mật" lớn thứ hai mà Sony phải hứng chịu kể từ giữa tháng 4 đến nay. Khi đó, những kẻ tấn công đã đột nhập được vào hệ thống mạng của PlayStation Network và Sony Online Entertainment và nẫng được thông tin cá nhân của gần 100 triệu người dùng.

Sau phát súng đại bác đầu tiên đó, một loạt các vụ tấn công với quy mô nhỏ hơn đã nhắm vào website của Sony trên toàn thế giới. Hầu hết các vụ tấn công, như vụ của LulzSEC, đều nhằm bêu riếu và "hạ nhục" Sony, bởi gã khổng lồ công nghệ - giải trí này đã dám tuyên chiến với nhiều hacker xung quanh chuyện bản quyền và bảo vệ IP.

Và có vẻ như các hacker đã thành công. Bộ mặt của Sony chưa bao giờ "thảm hại" như hiện nay, khi mà scandal nối tiếp scandal. Các vụ tấn công liên tiếp xảy ra trong khi Sony thể hiện một sự bị động hoàn toàn đã khiến cho uy tín của hãng giảm sút thê thảm. Sony đã buộc phải đóng cửa mạng PlayStation Network và Sony Online Entertainment trong nhiều ngày để khắc phục hậu quả do các cuộc đột nhập để lại. Ngay đến tận bây giờ hai mạng này vẫn chưa thể trở lại hoạt động như bình thường.

Sony đã thuê ít nhất là 3 hãng bảo mật bên ngoài để giúp vá víu lại mạng lưới. Hãng cũng tuyển dụng một Giám đốc Bảo mật mới nhưng rõ ràng là các biện pháp này chưa có hiệu quả khi các vụ tấn công cứ đều đặn diễn ra.

Bản thân Sony khẳng định trước dư luận rằng các cuộc đột nhập vào PlayStation và Sony Onlien Entertainment là các cuộc tấn công tinh vi, xác định mục tiêu hết sức cụ thể. Tuy nhiên, tất cả các bằng chứng mà báo giới nắm được đều cho thấy, hacker đột nhập thành công vì hệ thống của Sony tồn tại những lỗi cực kỳ căn bản về bảo mật. Thí dụ như lỗ hổng SQL là cực kỳ "dễ tìm và khai thác", theo như tuyên bố của LulzSEC.

Đến lượt Sony Pictures bị hacker lôi "lên thớt"

Chủ đề cùng mục

Mới nhất