Sony gehackt mit SQL Injection

[Daki]

Da könnte man meinen, dass sich Firmen wie Sony gegen SQL Injections schützen (ich mein die müssen doch IT Sicherheitsleute haben!!!) - konnte es gar nicht glauben bis das original Statement fand:
"SonyPictures.com was owned by a very simple SQL injection, one of the most primitive and common vulnerabilities, as we should all know by now." Quelle: http://lulzsecurity.com/releases/sownag ... TEMENT.txt

Was haltet ihr davon?

Edit: Für alle die nicht wissen was eine SQL Injection ist - jeder, der schonmal wissen wollte wie hacken geht stößt als erstes auf den Begriff SQL Injection. Dabei schleust man Code in die Datenbankabfragesprache ein.
Es ist so ziemlich das Primitivste was es gibt und wenn man weiß was es ist, sollte es sehr leicht zu vermeiden sein.

[Galak]

In der Tat eine wirklich mehr als blöde Sache. Wenn sie vergessen es an einer Stelle abzudichten, kann passieren...aber Passwörter im Klartext? Jeder Programmierer, der mit Userdaten arbeitet lernt als Erstes, dass man Passwörter hashen muss. Selbst lächerliches md5 würde schon reichen und das kann php schon mit einer kleinen Funktion, dafür muss man nichtmal wirklich proggen können.

[Daki]

Naja die Kunden sollten die Firma verklagen können ... ist doch nen Witz wieviel Wert da auf Sicherheit gelegt wird.
Und dann schalten sie auch noch gleich das FBI ein um die Hacker zu finden, die das Ganze aufgedeckt haben.

Wer weiß was ein anderer gemacht hätte, wenn er in die Datenbank eingedrungen wäre. (An dieser Stelle gehe ich nicht davon aus, dass LulzSecurity aus den Daten Profit schlägt )

[Teodin]

Sony wird doch in den letzten Wochen beinahe täglich gehackt. Hier ein paar 100.000 Kreditkartendaten, da eine Million Post- und E-Mail-Adressen. Ich stelle mir das in etwa so vor:

"Horst, Videos unserer Künstler werden in Deutschland bei YouTube gezeigt!"
"Sofort sämtliches Personal aus allen Bereichen mobilisieren! Wir müssen IP-Zäune aufstellen!"
"Aber Chef, was ist mit den Leuten, die unsere anderen Services sicher machen sollen?"
"Irrelevant! Es kann doch nicht angehen, dass sich jemand unsere Videos anschaut! Das hat oberste Priorität!"

[Gurry]

Langsam wird mir das auch ein wenig Blöde, - Als besitzer einer PS3
Aber gut, dass ich nicht mit der Kreditkarte eingekauft habe, - Trotzdem sollte man das nicht Tolerieren.

[Piru]

Wer zu dumm ist sein System gegen so etwas billiges zu sichern hat halt gelitten.

Selbst lächerliches md5 würde schon reichen und das kann php schon mit einer kleinen Funktion, dafür muss man nichtmal wirklich proggen können.

Nein, würde es nicht. MD5 kollidiert an fast jeder Ecke.

[Blizz]

Langsam wird mir das auch ein wenig Blöde, - Als besitzer einer PS3
Aber gut, dass ich nicht mit der Kreditkarte eingekauft habe, - Trotzdem sollte man das nicht Tolerieren.

Aufgrund Sonys katastrophaler Kundenpolitik können die Hacker aus meiner Sicht den Konzern gerne so oft hacken wie sie wollen, selbst wenn unrealistisches Szenario, Sony dadurch Pleite gehen würde. Die Firma hätte es nicht anders verdient.

[kaot]

Wer zu dumm ist sein System gegen so etwas billiges zu sichern hat halt gelitten.

Gelitten haben im Moment wohl eher die Sony Kunden. Und weil garantiert genug Leute dumm genug sind, weiterhin Geld in den Mistladen zu stecken, ist das nur ein kleiner Rückschlag - nicht schlimmer als der Preiskampf mit der Xbox oder der Wii anfangs.

[Galak]

Selbst lächerliches md5 würde schon reichen und das kann php schon mit einer kleinen Funktion, dafür muss man nichtmal wirklich proggen können.

Nein, würde es nicht. MD5 kollidiert an fast jeder Ecke.

Besser als Klartext, mh? (Ich möchte nicht ausdrücken, dass es eine gute Lösung ist mit md5 zu hashen! Das ist lediglich als Beispiel zu werten.) Man sollte wirklich meinen, dass deren Sicherheitsexperten schon was von Hashing gehört haben sollten...scheinbar ein Irrtum.

[bwoebi]

Was ist der Sinn eines gehashten Passwortes, wenn der Hacker sich doch eh nicht dafür interessiert… er hat ja die Kreditkartennummern?

Es macht nur Sinn wenn alles gehasht ist, bzw. symmetrisch Verschlüsselt und der Schlüssel nicht in der Db steht

[Galak]

Ich denke du verstehst was ich damit meine. Ja, im Fall Sony hätte es den Kunden nicht viel gebracht, wenn ihre Passwörter unkenntlich sind, dennoch ist es notwendig diese zu hashen...von einer Verschlüsselung der restlichen Daten mal abgesehen.

[Schmiddi]

Sichern ihre Konsole ab wie die blöden und scheißen auf Kundendaten.
Trotzdem ist die Ps3 geil, und da ich noch nicht im PSN angemeldet war, ist es mir auch recht egal. Werde mich vermutlich dennoch anmelden - wenn auch ohne Kreditkartennummer
Wenn jemand meinen Namen wissen will, kann er mich auch einfach fragen, ist mir recht wurscht.

[Trianon]

in den Mistladen zu stecken

man mag von sony nach den ganzen pannen halten,was man will - aber ein mistladen sind sie nicht. die produkte,die ich von denen hab,sind mir 10000000x lieber als die von der konkurrenz. ich bin zwar froh,dass ich beim psn nicht angemeldet war (cfw auf der psp,damals wars noch nich moeglich,mit der in den psn-store reinzukommen,also auf psn geschissen),aber das aendert nichts daran,dass ich mir hoechstwahrscheinlich die psvita holen werde. einfach weil mich die produkte ueberzeugt haben. auf das drumherum werd ich wohl jetzt in zukunft auch noch verzichten. besser als auf den apple-hype zu springen und n dreck von denen zu kaufen ^^

@topic: shit happens. soweit ich weiss ist vom gesetzesgeber nur die auflage gegeben,dass kreditkarten-daten verschluesselt und gut gesichert sein muessen..also nix privates like name etc. korrigiert mich falls ich da falsch lieg. dennoch find ichs ziemlich dreist,was die sich da geleistet haben. von dreister find ichs aber,wie die die psn-kunden entschaedigen wollen (30 tage free zugang zu premium-content oder so)..is ja mehr ne werbeaktion zum kauf als ne entschaedigung.
dass per sql-injection sonypictures drauf ging,is zwar bemerkenswert,aber nach dem ganzen trubel um sony+psn in den letzten tagen iwie unnoetig gewesen.

Top, genauso seh ich das auch. Ich bleib bei meinem Sony-Spielzeug.

[hackerzzzz]

passt zwar nicht zu Sony, aber zu SQL Injection

SpoilerShow

[Dimi]

oh mann, wie die von lulzsec durchdrehen...erst sony, dann porn.com, bethesda, senate.gov , escapistmagazine.com, eve online und minecraft...da wird jemand langsam aber sicher größenwahnsinnig ^^