09 7430130 This e-mail address is being protected from spambots. You need JavaScript enabled to view it.
 עברית < English

סוני ידעה כבר לפני מספר חודשים על פרצות האבטחה שהובילו לדליפת המידע

פרטים חדשים אודות פרטי הפריצה ומימדי הנזק נחשפים

 כמעט חודש לאחר שנתגלתה הפריצה לרשת סוני, ידוע כי יותר מ-100 מיליון רשומות של לקוחות החברה נחשפו בפריצה; עם זאת, את מימדי הנזק שנגרם עדיין לא ניתן להעריך.

ב-1 במאי הודיעה החברה כי נתגלה ש-25 מיליון רשומות נוספות - של לקוחות Sony Online Entertainment נחשפו; זאת כאמור בנוסף לרשומות של 77 מיליון לקוחות Sony PlayStation Network אשר נתגלה שנחשפו באמצע חודש אפריל.

לדברי ה-CIO של סוני, שינג'י האסג'ימה, התקיפה בוצעה משרת אפליקציה אשר ממוקם מאחורי שרת Web ושני Firewalls ברשת סוני. התקיפה הראשונה הוסוותה כתהליך ביצוע רכישה, ועל כן לא נתקבלו כל התראות ממערכות האבטחה. התוקפים ניצלו פירצת אבטחה ידועה בשרת האפליקציה בכדי להתקין עליו תוכנה אשר באמצעותה בוצעה התחברות אל שרת מסד הנתונים אשר היה ממוקם מעבר לפיירוול השלישי.

ב-2 במאי שלחה החברה מייל ללקוחותיה בו היא טענה כי "בסיס הנתונים הראשי של כרטיסי האשראי" לא נחשף, אולם שההאקרים כן הגיעו למידע אודות כרטיסי אשראי של עשרות אלפי לקוחות מבסיס נתונים לא עדכני. מן החברה נמסר כי בסיס הנתונים הזה - משנת 2007 - אכן הכיל מספרי כרטיסי אשראי ותאריכי תפוגה של הכרטיסים.

מומחי אבטחה ביקרו את סוני קשות על האבטחה הלקויה שלה, וכן על האיחסון של פרטי כרטיסי אשראי ישנים בבסיס נתונים נגיש. התקרית ממחישה את העובדה שגם שרת ישן ולא-עדכני מהווה נקודת כשל קריטית; בפועל, שימש השרת המיושן כנקודת כניסה אל הרשת הארגונית.

ב-3 במאי הודיעה החברה כי היא שכרה שלוש חברות אבטחת מידע בכדי לסייע בחקירת האירוע. החברה לא פירסמה מיהו הגורם האחראי לפריצה, אולם במכתב לבית הנבחרים האמריקאי נאמר כי התגלו על מספר שרתים עקבות אשר ככל הנראה מובילות אל קבוצת Anonymous. סוני טוענת כי קובץ הנקרא "Anonymous" הושאר על השרת שנפרץ.

עם זאת, Anonymous אומרים שהם לא היו מעורבים בפריצה [ויש להדגיש כי קבוצת Anonymous לוקחת אחריות בדרך כלל על פריצות של אנשיה, ולעיתים אפילו מודיעה על פריצות מתוכננות מראש].

ב-4 במאי התקיים שימוע בנושא בתת-הוועדה לענייני מסחר וייצור בקונגרס; סוני בחרה לא להופיע, והסתפקה במכתב בו פורטו האירועים והממצאים שנחשפו על ידה עד כה, ואשר בו נאמר כי היא מכבדת את הד"ר ג'ין ספאפורד מאוניברסיטת פרדו אשר העיד בפני הוועדה ואמר כי סוני ידעה [עוד קודם לכן] על הפרצות אשר הובילו לאירוע הדליפה.

ספאפורד אמר בעדותו לחברי הוועדה שסוני השתמשה בשרת Apache מיושן, אשר בנוסף על כך לא היה מעודכן בטלאי אבטחה, ושלא היה מותקן עליו פיירוול. עובדות אלו דווחו בפורום באינטרנט כבר לפני מספר חודשים.

אם אכן כך, עובדות אלו מראות תרבות ארגונית של חוסר בדגשים ובמודעות ארגונית בנושאי אבטחת מידע.

"הייתי רוצה לדעת את שמותיהם של ה-Auditiors אשר אחראים למבדקי האבטחה של החובבניים שנערכו בסוני, כמו גם את שמותיהם של ה-CFO וה-CIO של סוני, אשר היו אחראים להחלטות בדבר השקעות נמוכות באבטחה," אומר מומחה אבטחת המידע פיל ליברמן. "סוני גם צריכים לנתק את הקשר עם ה-IT Auditors שלהם, על כך שביצעו עבודה כה עלובה".

 כיצד ניתן להתגונן מפני תקיפה דומה לזו שבוצעה על סוני? - כאן 

לידיעה המקורית (אנגלית) - כאן

תיאור סכמטי אודות נתיב התקיפה שנמסר על-ידי סוני לאחר מסיבת העיתנאים ב-1 במאי - כאן

ידיעות נוספות - כאן ו-כאן