เว็บ Sony Pictures โดนแฮ็ก ข้อมูลถูกขโมยกว่า 1 ล้านบัญชี

By mk Founder on Tag: Security, Sony, Hacking, Sony Pictures, LulzSec
Security

กลุ่มแฮ็กเกอร์ LulzSec เริ่มปฏิบัติการโจมตีเว็บไซต์ของโซนี่ตามที่ประกาศเอาไว้ และเว็บที่โดนโจมตีคือ SonyPictures.com

LulzSec ออกมาเปิดเผยว่า SonyPictures.com ถูกเจาะได้ง่ายๆ ด้วย SQL injection เพียงคำสั่งเดียว และ LulzSec ก็เข้าถึงข้อมูลได้ทุกอย่าง ได้แก่ บัญชีของผู้ใช้พร้อมข้อมูลส่วนตัวและรหัสผ่าน 1 ล้านบัญชี รวมถึงรหัสผ่านแอดมิน และคูปองส่วนลดซื้อเพลงผ่านเว็บของโซนี่กว่า 3.5 ล้านชิ้น

LulzSec บอกว่าไม่มีเวลาก็อปปี้ข้อมูลได้ทั้งหมด แต่นำข้อมูลออกมาบางส่วน ที่น่ากลัวคือ LulzSec บอกว่า Sony Pictures เก็บรหัสผ่านของผู้ใช้แบบไม่เข้ารหัส และข้อมูลเหล่านี้ถูกโพสต์บน The Pirate Bay เรียบร้อยแล้ว

LulzSec บอกว่าเป้าหมายของการแฮ็กไม่ใช่ต้องการชื่อเสียงในวงการแฮ็กเกอร์ แต่ต้องการแสดงให้เห็นว่าระบบรักษาความปลอดภัยของโซนี่อ่อนแอมาก และเตือนให้ผู้ใช้เลิกเชื่อมั่นในบริษัทที่หละหลวมขนาดนี้

นอกจาก Sony Pictures แล้ว LulzSec บอกว่ายังได้ฐานข้อมูลของ Sony BMG ในเบลเยียมและเนเธอร์แลนด์ ซึ่งมีทั้งบัญชีของพนักงานและลูกค้า

ที่มา - ประกาศของ LulzSec, Boing Boing

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

PaPaSEK Fri, 03/06/2011 - 08:55

เฮ้อ มัวแต่ไปพัฒนาระบบป้องกันบน PS3 ปล่อยให้เว็บโดน SQL Injection แค่คำสั่งเดียวก็ง่อย

ไอ้พวกนี้ก็เล่นไม่เลิกซะด้วย

PaPaSEK Fri, 03/06/2011 - 09:21

กำลังคิดว่าใช้คนนอกหรือคนในทำ ถ้าเป็นบริษัทรับจ้างทำเว็บมีหวังโดนฟ้องหมดตรูดแน่ๆ

xxxooo Fri, 03/06/2011 - 09:10

ผมว่า เค้าทำนั่นแหล่ะดี

เพราะเราไม่มีทางรู้ข้อมูลของเรา โดนใคร เอาไปแล้วบ้างก่อนที่ คนพวกนี้ เอา

การที่คนพวกนี้ ประกาศตัว ทำให้เรารู้ว่า Sony แม่งไม่เคยเห็นข้อมูลลูกค้าสำคัญเลย

ต้องการแค่นำไปใช้ประโยชน์ แต่ไม่คิดจะปกป้อง รักษาความลับ

PaPaSEK Fri, 03/06/2011 - 09:20

เห็นด้วยครับ ในวิกฤติยังมีโอกาศ

ถ้ามัวแต่นั่งเฉา เอาแต่หมดอาลัยตายอยาก ทุกอย่างก็จบครับ

aeke88 Fri, 03/06/2011 - 10:10

การโชว์ว่าระบบอ่อนแอก็ถือว่าเป็นเรื่องดี

แต่การนำเอาข้อมูลออกไปสู่สาธารณะ ไม่ใช่เรื่องดีครับ

สรุปงานนนี้ แก็สโซฮอลผิดครับ

tekkasit Fri, 03/06/2011 - 09:58

มองวิกฤติเป็นโอกาสครับ อย่างแรกก็ต้องยอมรับว่าคุณตั้งการ์ดต่ำไปจริงๆ เก็บรหัสผ่านตรงๆอย่างงี้ ทั้งๆที่น่าจะใช้ hash, ปล่อยให้เกิด SQL injection ได้ ฯลฯ ถือโอกาสตั้งนโยบายความปลอดภัยของแอพฯ ทำนองพวก security audit อ่ะครับ

เพราะมุมหนึ่ง ถ้าเค้าเก็บรหัสผ่านของเราตรงๆในระบบ ถ้ามีคนของโซนี่ (หรือแม้แต่บุคคลที่สามที่โซนี่ใช้บริการ เช่น บริการขนส่งสื่อแบ็คอัพ) เองทุจริต ก็สามารถสวมรอยเป็นคุณได้แล้ว

EThaiZone Fri, 03/06/2011 - 09:37

ผมสงสัยน่ะครับ เลยไปตามโหลดข้อมูลที่ทางกลุ่มเผยแพร่มา พบว่าทางกลุ่มไม่ได้เผยแพร่แค่ข้อมูลที่แฮกได้เช่น username password หรือ coupon code อย่างเดียว

แต่ยังบอกช่องโหว่ที่ไม่ได้มีการทำ filter ไว้ เลยเป็นจุดที่สามารถ inject code ได้ (ถ้ารู้ sql) รวมถึงยังมีการบอก layout ของ table ด้วย ว่า table ไหนมี fields อะไรบ้าง

สรุปน่ะครับ ... ชิบหายจริงๆ นั้นแหละ แต่ถ้า Sony โหลดไฟล์นี้ไปอ่านดีๆ แก้แค่ไม่ถึง 2-3 นาที ก็อุดช่องโหว่นี้ได้แล้ว แค่...

if(!is_int($_GET['id'])) die('Bla bla...');

เพิ่มเท่านี้แหละ จุดที่กลุ่มนี้บอกก็จะแฮกไม่ได้ เท่านี้คนอื่นที่โหลดไฟล์ไปก็จะแฮกในจุดนี้ไม่ได้ ก็ช่วยให้ข้อมูลหลุดอีกน้อยลง

EThaiZone Fri, 03/06/2011 - 10:19

ผมสงสัยแต่ว่าเว็บนี้แม้แต่ Framework ก็ไม่ได้ใช้ ดูการออกแบบฐานข้อมูลแล้วเข้าขั้นมีปัญหาทีเดียว Duplicate กระจายต่างกันแค่ ID ทั้งที่ปกติเขาต้องแยก Table แล้วใช้ทำ Relation พวก Join อะไรก็ว่าไป

แนะนำให้โหลดไฟล์ของ Sownage มาดูครับ แล้วอาจจะเปลี่ยนความคิดทีว่า Sony ไม่ดูแล หรือคนเขียนเว็บกันแน่ที่มันกาก ผมพูดจริงๆ น่ะ

แล้วสุดท้าย ผมว่าเหตุการณ์ฉุกเฉิน การ Hard code ก็ทำเป็นต้องทำ ถ้าทำไม่ได้ อันนี้ก็ต้องพิจารณาตัวเองแล้ว

ปล. Sownage ปล่อยข้อมูลมาแค่ส่วนเดียว เพราะข้อมูลจริงมีเป็นล้าน ถ้า Sony ไม่รีบแก้ ข้อมูลทั้งเว็บได้โดน Dump ออกมาหมดแน่ๆ

cornario Fri, 03/06/2011 - 09:41

คือเรื่อง sql injection (แบบพื้นฐานมากๆ) นี่ว่าแรงแล้วเจอรหัสผ่านไม่ได้เข้ารหัสนี่แบบ - -*
ขนาดเว็บโง่ๆที่ nobody อย่างผมทำยังเข้ารหัสไว้เลย

Ready2go Fri, 03/06/2011 - 09:50

ผมว่าได้อย่างเสียอย่าง

ได้อย่างตรงที่ว่า บริษัทต่างๆที่มีการเก็บข้อมูลบนเว็บหรือบนคลาวด์จะได้มีการระมัดระวังมากขึ้น ดูแลข้อมูลของลูกค้ามากขึ้น

เสียอย่าง(แรง)ตรงที่ว่า มูลค่าของข้อมูลที่หลุดไปนั้นมหาศาล ความน่าเชื่อถือของระบบออนไลน์ของโซนี่หายเรียบ ความคิดที่จะเปิดร้านขายแอปของตัวเองนี่เลิกไปเลย อาจจะพาลไปถึง PSN ที่มีการซื้อขายเกมออนไลน์ด้วย

ตอนแรกผมก็สงสารโซนี่นะ แต่พอทราบว่าโซนี่เก็บข้อมูลลูกค้าแบบไม่ Encrypt แล้วยังหละหลวมในการป้องกันแบบนี้ ผมสนับสนุนให้ฟ้องโซนี่เรื่องข้อมูลรั่วไหลให้เป็นเคสตัวอย่างครับ

npanda Fri, 03/06/2011 - 10:10

ถึงขนาดโดน SQL injection นี่ผมว่าแย่มากเลยนะ ขนาดเป็ด ๆ อย่างผมยังใส่ใจกับเรื่องนี้เป็นอย่างแรกเลย
Sony ครับให้ความสำคัญกับลูกค้ามากกว่านี้หน่อยเถอะ

EThaiZone Fri, 03/06/2011 - 10:23

อัพเดตเพิ่ม ช่องโหว่ Sony จัดการแล้ว

ตอนนี้เข้าไม่ได้ ทำให้ไม่รู้จริงว่า Sony ใช้อะไรในกาารทำส่วนนั้น เพราะส่วนที่ผมสงสัยคือ Sony ใช้ user pass ของ database เดียวกันทั้งเว็บเลยไหม แล้วให้สิทธิ์เข้าถึงทั้งหมด เพราะถ้าเป็นอย่างนั้นก็ไม่ต่างอะไรกับ Root บน Database แล้วก็... จินตนาการต่อเอาเอง

tekkasit Fri, 03/06/2011 - 11:19

มองอีกมุมนะ คือการทำ security audit มันยุ่งยากหน่อย เพราะต้องใช้พวกที่เชี่ยวชาญมารีวิวโค้ด, เว็บเฟรมเวิร์ก ว่ามันผิดกฎตรงไหนบ้าง ดังนั้น (อันนี้พยายามคิดเข้าข้าง) ถ้าระบบไหนไม่ได้เก็บข้อมูลสำคัญ เช่นข้อมูลบัตรเครดิต เค้าอาจจะหย่อนๆไปมั้ง

ปล. ดูหนังดูละครแล้วย้อนดูตัว แล้วเว็บระบบราชการไทยล่ะ ไม่อยากจะคิด

spicydog Fri, 03/06/2011 - 14:40

ก็สงสารโซนี่ แต่เก็บรหัสผ่านผู้ใช้โดยไม่เข้ารหัสนี้ก็รับไม่ได้เหมือนกันนะครับ

pines Fri, 03/06/2011 - 15:37

สุดท้าย Sony คงต้องจ่ายค่ายกระดับมาตรฐานระบบความปลอดภัยให้ บ.ฝรั่งอีกอยู่ดี ถ้าไม่ยอมจ่ายเดี๋ยวก็ถูกเจาะอีก สู้เขาไม่ไหวก็จ่ายไป - -"

gudome Fri, 03/06/2011 - 16:02

ตอนแรกๆก็สงสาร แต่พอเจอเคสนี้เข้าไป ตอนนี้เปลี่ยนเป็นสมน้ำหน้าละ

ทำอย่างกับข้อมูลลูกค้าไม่สำคัญ - -

Godhand Fri, 03/06/2011 - 23:59

ค่อนข้างเชื่อว่าเรื่องนี้เกี่ยวข้องกับเรื่องคดีคุณ geohot ครับ

เพราะคิดว่าคนที่ลงมือทำ(LulzSec)นั้น น่าจะคิดว่า Sony กระทำกับคุณ geohot เกินกว่าเหตุไปครับ และคิดว่าคงมีอีกหลายๆคนที่คิดว่าเกินกว่าเหตุจริง