Bei SONY weiß man offenbar nicht, dass es Software gibt, die im RAM von Servern sitzt und unabhängig von der Benutzerrolle und ACL einfach bestimmte Zugriffsmuster auf Datenbanken überprüft. Dabei sind vor allem SQL-Injection-Angriffe und das Abgrasen ganzer Nutzerdatenbanken vielfach relativ leicht zu erkennen – wenn man solche Lösungen einsetzt. Da Sony sich aber offenbar mit den Falschen angelegt hat, wird nun beständig das gesamte IT-Personal bei Sony einem Stresstest unterzogen. Und wir hatten es uns gedacht: Die extreme Schludrigkeit, die der eine oder andere Berater selbst fassungslos bestaunen darf, wenn er bei Kunden Details über die dortige IT-Architektur – bzw. Security erfährt, hat einen Namen: Kosten senken. Denn aus Dummheit können die ganzen Lecks bei Sony gar nicht entstehen, oder doch? Sind die Security-Beauftragten wirklich so grün hinter den Ohren. Es ist ja leider bekannt, dass viele Security-Menschen das Netzwerk absichern. Wenn Angriffe aber gar nicht über das Netzwerk kommen, hat man freie Fahrt ins Wochenende…
Heute jedenfalls wurde bekannt, dass die japanische Website, wie bereits die thailändische, indonesische und griechische Site, gehackt wurde. Die Hacker aller Welt machen sich also einen Spaß daraus, die Websites und Netzwerke von Sony abzugrasen, um leichte und leichtere Einfallstore gnadenlos auszunutzen. Wenn Sonys Playstation Network wieder online ist, haben sie sicher Besseres zu tun und zocken weiter BRINK oder Bulletstorm. Bis dahin erreicht der Ruf der IT-Security-Kompetenz bei Sony fast erkennbare Werte.
(via @fefesblog)
Artikel per E-Mail verschicken
Schlagwörter: Hack, sony