เว็บไซต์ของ Sony Ericsson ประเทศแคนาดาโดนแฮ็ก และข้อมูลส่วนตัวของลูกค้าระบบซื้อสินค้าออนไลน์ของ Sony Ericsson ประมาณ 2,000 บัญชีถูกขโมยออกไป

ข้อมูลส่วนตัวได้แก่อีเมล รหัสผ่าน และหมายเลขโทรศัพท์ แต่ไม่มีข้อมูลบัตรเครดิต

ในแถลงการณ์ของ Sony Ericsson ระบุว่าเว็บไซต์นี้ฝากไว้กับเซิร์ฟเวอร์ภายนอก และไม่ได้อยู่บนเครือข่ายหลักของบริษัท

ที่มา - BBC, Engadget

คล้อยหลังเหตุการณ์ เว็บ Sony Music Greece โดนแฮ็ก ไม่นาน ก็มีข่าวมาทันทีว่า Sony Music Japan (sonymusic.co.jp) โดนแฮ็กเช่นกัน

รอบนี้เป็นฝีมือของกลุ่มแฮ็กเกอร์ชื่อ LulzSec Hacking หรือ Lulz Security ซึ่งเคยมีผลงานเจาะระบบเว็บไซต์ Fox.com เมื่อเดือนก่อน ใช้วิธี SQL injection เช่นเดิม และนำฐานข้อมูลของโซนี่มาโพสต์บนเว็บไซต์ pastebin.com แสดงหลักฐานว่าเจาะได้เรียบร้อย

ข่าวดีในข่าวร้ายนี้คือฐานข้อมูลที่โพสต์ไม่มีข้อมูลส่วนตัวของผู้ใช้ใดๆ กลุ่ม Lulz บอกว่าไม่มีความประสงค์ร้ายต่อข้อมูล เพียงแค่อยากให้โซนี่อับอายเท่านั้น

เราอาจเรียกปี 2011 ว่าเป็น "ฝันร้ายอันยาวนานของโซนี่" ได้แล้ว เพราะหลังจากมีข่าวว่าเว็บไซต์ของโซนี่ประเทศไทยโดนแฮ็ก ก็มีคนอ้างว่าแฮ็กเว็บของ Sony Music สาขาประเทศกรีซได้

รอบนี้ตัวเว็บไม่แสดงหน้าที่ถูกแฮ็ก แต่มีคนนำฐานข้อมูลสมาชิกของ Sony Music อันประกอบด้วยชื่อจริง ชื่อผู้ใช้ และอีเมล ไปโพสต์ไว้บนเว็บไซต์ pastebin.com ซึ่งเป็นเว็บสำหรับแปะโค้ดต่างๆ

บริษัทความปลอดภัย F-Secure รายงานข่าวว่าเว็บของโซนี่ประเทศไทย (sony.co.th) โดนแฮ็ก และซับโดเมนหนึ่งคือ hdworld.sony.co.th ถูกปลอมเป็นเว็บบริษัทบัตรเครดิตของประเทศอิตาลีชื่อ CartaSi ซึ่งมีเจตนาชัดเจนว่าต้องการหลอกถามข้อมูล (phising) ของผู้ใช้เว็บ

ตอนนี้ hdworld.sony.co.th เข้าไม่ได้แล้ว แต่ดูภาพหน้าจอของเว็บที่โดนแฮ็กได้ท้ายข่าวครับ

นอกจากกรณีของเว็บโซนี่ประเทศไทยแล้ว ยังมีข่าวว่าบัญชีของลูกค้าโซนี่ในญี่ปุ่น ถูกขโมยเงินไปประมาณ 1 แสนเยน โดยมีแฮ็กเกอร์บุกเข้าไปในระบบเซิร์ฟเวอร์ของโซนี่ และขโมยแต้มของลูกค้าจำนวนหนึ่งออกไป

สำนักข่าว Bloomberg รายงานข่าววงในว่า กลุ่มแฮ็กเกอร์ที่ถล่ม PlayStation Network และขโมยข้อมูลส่วนตัวออกไป ใช้วิธีเช่าเครื่องคอมพิวเตอร์ผ่าน Amazon EC2 เพื่อเป็นฐานในการโจมตี PSN อีกทอดหนึ่ง

ตามข่าวบอกว่า แฮ็กเกอร์เหล่านี้ใช้ชื่อปลอมไปเปิดบัญชี EC2 ใช้งานเหมือนบุคคลอื่นทั่วไป ไม่ได้แฮ็กเข้าระบบ EC2 แต่อย่างใด ตอนนี้บัญชีปลอมเหล่านี้ถูกปิดไปแล้ว ส่วน Amazon ยังไม่มีแถลงการณ์ต่อข่าวนี้

ถ้าข่าวนี้เป็นจริง ก็จะเกิดคำถามต่อบริการแบบ EC2 และ cloud computing อีกเช่นกัน ว่าจะป้องกันการนำคอมพิวเตอร์พลังสูงไปใช้ในทางที่เป็นภัยต่อผู้อื่นได้อย่างไร

รวมสามข่าวที่เกี่ยวกับกรณีเซิร์ฟเวอร์ของโซนี่ถูกแฮ็กนะครับ

ข่าวแรก หลังโซนี่ชี้แจ้งกับวุฒิสภาของสหรัฐว่า กลุ่ม Anonymous อาจเป็นคนเจาะระบบของ PlayStation Network ทางกลุ่ม Anonymous ก็ออกแถลงการณ์ว่าไม่เกี่ยวข้องกับกรณีดังกล่าว และยืนยันว่าแกนนำของกลุ่มไม่มีนโยบายขโมยข้อมูลบัตรเครดิต

นักวิเคราะห์ด้านความปลอดภัยจาก Trend Micro รายงานว่าแฮ็กเกอร์กลุ่มหนึ่งได้กล่าวอ้างในเว็บบอร์ดเฉพาะแห่งหนึ่ง ได้โพสต์ข้อความประกาศขายข้อมูลบัตรเครดิตที่แฮ็กได้จาก PlayStation Network จำนวน 2.2 ล้านใบ โดยข้อมูลจำนวนนี้มีรหัส 3 ตัวของบัตรที่เรียกว่า CVV/CSC อยู่ด้วย

อย่างไรก็ตาม Trend Micro ยังไม่สามารถพิสูจน์ได้ว่าคำกล่าวอ้างนี้จริงหรือไม่

ปัญหา PlayStation Network ล่มติดต่อกันสามวัน กลายเป็นเรื่องใหญ่ไปเสียแล้ว เพราะโซนี่ออกมาเปิดเผยว่าแฮ็กเกอร์ที่ถล่มระบบของโซนี่ สามารถบุกเข้ามาในระบบรักษาความปลอดภัย และเชื่อว่าได้ข้อมูลส่วนตัวของสมาชิก PlayStation Network/Qriocity ไปด้วย

ข้อมูลเหล่านี้คือชื่อ, ที่อยู่, อีเมล, วันเกิด, ชื่อล็อกอินและรหัสผ่านของ PSN/Qriocity, ID ของ PSN ส่วนข้อมูลที่อาจโดนเจาะไปด้วยคือประวัติการซื้อสินค้า, ที่อยู่สำหรับส่งใบแจ้งหนี้, คำถามสำหรับรีเซ็ตรหัสผ่าน