Nachdem es etwas ruhiger um Sony wurde, lohnt sich der Rückblick. Mich interessierte wie es sein kann, dass ein großer Konzern wochenlang immer wieder mit Sicherheitslücken zu kämpfen hatte und ob mich das als Datenbänker irgendwie tangiert. Der Titel sagt es ja schon: ja, es hat sehr viel mit SQL zu tun.
Vermutungen über Hintergründe äußerte ich bereits an anderer Stelle. Daher hier erst mal das Ergebnis meiner Recherchen:
- Anonymous kündigt Aktionen gegen Sony an:
Ab dem 4.4.2011 beginnen DoS-Attacken gegen Sony-Webseiten durch das Anonymous-Kollektiv (Details). Weil das die Spieler aber massiv stört, hören sie am 7.4. wieder damit auf und entschuldigen sich bei den Spielern. - 16.4.2011: Die Daten von Sony Online Entertainment (SOE) werden geknackt: erbeutet werden 24,6 Millionen Kundendaten (inkl. Kreditkartendaten bzw. Konteninfos). Entdeckt wurde das aber erst nach intensiven Untersuchungen rund um den PSN-Hack am 2.5.2011. Details siehe Heise.de. Zu diesem Hack hat sich meines Wissens noch niemand bekannt, dass führt zu einer Vermutung:
- 19.4.2011: Offenbar wurden durch die Aktionen auch echte Hacker/Cracker auf die Lücken bei Sony aufmerksam. Sie hacken sich in deren Spieler-Netz PSN, erbeuteten Millionen von Kredikarteninfos und bieten sie angeblich zum Kauf an. Der Einbruch gelingt, weil Sony Software mit 5 Jahre lang bekannten Sicherheitslücken nicht aktualisierte. Wie peinlich.
Spiegel.de berichtete: "Hacker haben Daten von Millionen Nutzern der Online-Dienste des Konzerns erbeutet. Es geht um Adressen, Passwörter und möglicherweise auch um Kreditkartennummern, warnte Sony. Mehr als 75 Millionen Nutzer des Playstation Network (PSN) und des Video- und Musikservices Qriocity weltweit sind betroffen."
Eine ganz ausführliche Beschreibung findet man im Artikel PSN-Hack Timeline – Die ganze Geschichte!. - 7.5.2011: Veraltete Kundendaten von einem eigentlich inaktiven Sony-Webserver können ganz leicht via Google eingesehen werden: sie schlummerten seit 2001 als Excel-Datei nur ungenügend geschützt auf einem Webserver. Details siehe thehackernews.com und Sophos.com. Wie peinlich ist das denn?
- 17.5.2011: 2 Tage nach dem Neustart des PSN meldet die Spiele-Webseite Nylevia ernsthafte Probleme. Man kann leicht die Passwörter fremder Accounts ändern.
Details bei Heise.de: "Dazu musste der Angreifer lediglich die E-Mail-Adresse und das Geburtsdatum des PSN-Mitglieds kennen. Diese Informationen gehören zu den persönlichen Daten, die die Datendiebe bei ihrem Einbruch in das PSN Mitte April erbeuten konnten." - 20.5.2011: auf der Webseite von Sony-Thailand wurde injizierter Phishing-Code entdeckt, der Kreditkartendaten abgegriffen hat. Details siehe F-Secure.com.
- 21.5.2011: Der Internet-Provider SO-NET, der zu Sony gehört, wurde gehackt. Laut Heise-Online werden
aus dem Kunden-Bonus-System nur ein paar Punkte erbeutet. - 21.5.2011: Die Webseite von Sony-Music in Indonesien wird von einem Hacker geknackt und verändert. So etwas nennt man Defacement.
- 21.5.2001: Schlechter Tag für Sony, denn auch Sony-Music in Griechenland wurde gehackt und die Inhalte geändert. Das passierte laut thehackernews.com mittels einfacher SQL-Injection.
- 23.5.2011: Gleich zwei neue SQL-Injection-Lücken werden auf Sony-Music Japan von LulzSec veröffentlicht. Diese Lücke erfordert wenig Kenntnisse. Spätestens jetzt ist Sony in der Fachwelt blamiert. Die Art der dabei zugänglichen Informationen sind hier einzusehen.
- 24.5.2011: Die Webseite von Sony-Ericsson in Kanada wird durch den Hacker Idahc gehackt. Dabei kommen Kundendaten zu Tage (Mail, Name, Passwort-Hash, …), als Beweis werden 2000 Beispiele veröffentlicht. Wer weiß wie viele Daten von bösen Buben schon entwendet wurden. Der Screenshot zeigt: auch hierbei handelt es sich im Prinzip um eine SQL-Injection.
- 27.5.2010: Diesmal wird bloß eine XSS-Verwundbarkeit im Sony Playstation Store veröffentlicht. Schon fast ein kleiner Fisch…
- Am 2.6.2011 wird SonyPictures.com von LulzSec wieder mittels einfacher SQL-Injection geknackt. Am gleichen Tag werden 8 Datenbanken gehackt: Dort finden sie eine lange Liste von sensiblen Daten in verschiedenen Tabellen frei zugänglich: Benutzerdaten, teilweise inkl. Geburtstag und Klartext-Passwort. Details über die acht Hacks.
- Am 3.6.2011 wird dann die Webseite von Sony Europa durch den Hacker Idahc gehackt. Wieder mittels SQL-Injection, diesmal werden wieder Klartext-Passwörter und sonstige persönliche Daten erbeutet…
- Am 5.6.2011 ist dann die russische Webseite von Sony-Pictures dran: SQL-Injection was sonst. Die üblichen Inhalte…
- Ebenso am 5.6.2011 ist die Webseite von Sony-Music Brasilien mit Defacement dran: Die Inhalte wurden durch eine "Owned"-Meldung ersetzt, die über 12 Stunden online war.
- Am 6.6.2011 gelingt es LulzSec das Developer-Network von Sony zu hacken und veröffentlicht als Beweis dort erbeutete Quelltexte.
- Am 6.6.2011 veröffentlicht LulzSec interne Pläne über das Netzwerk bei Sony BMG, deren Infos wertvole Informationen für weitere Angriffe geben. Es ist unklar wo die herkommen. Offenbar sind sie auch dort eingedrungen.
- Am 8.6.2011 wird die Webseite von Sony-Musik-Webseite in Portugal (SonyMusic.pt) wieder von Adahc gehackt. Diesmal gleich auf drei verschiedene Arten: SQL-Injection, XSS (cross-site scripting) und iFrame-Injection. Und was kam zutage? Das übliche…
- Ebenfalls am 8.6.2011 bestätigt Sony-Japan, dass es einem Hacker gelang durch Spoofing Punkte im My-Sony-Club zu erbeuten. Dieser Club scheint also auch nicht sicher zu sein.
Und was lernen wir daraus? Die Webseiten von Sony konnten mit ganz alten und einfachen Tricks penetriert werden. Sony lernte nicht aus den Fehlern, Sony aktualisierte die Software nicht und hätte mal besser etwas mehr Geld für Sicherheitsfachleute investiert…
Was geht mich das als DB-Entwickler an?
Als Resümee aus der obigen Liste fallen mir drei Dinge ins Auge:
1. Wenn man die Liste durchgeht, dann überwiegen die SQL-Injection-Angriffe. Sie sind auch die Angriffe mit den schlimmsten Datenlecks. Ein Defacement ist ja noch harmlos, aber das Auslesen von Kundendaten ist kein Spaß. In einem Artikel verweist Sophos resigniert auf deren Artikel "Securing Websites".
2. Wenn ich mir die exponierten Daten so ansehe, dann kommt die Frage auf: Warum werden Passwörter im Klartext gespeichert? Wenn ein Hash gespeichert wird, ist er dann wenigstens gesalzen?
3. Wegen der vielen heterogenen Systeme wurden die gleichen Fehler immer und immer wieder gemacht. Offenbar hinderte die Organisationsstruktur die Sony-Admins und -Entwickler daran schnell und effizient Erfahrungen auszutauschen. Anders ist es nicht zu erklären, warum auch nach Wochen der ersten SQL-Injection-Angriffe immer noch weitere Webseiten dagegen verwundbar waren.
Diese drei Punkte gehen DB-Entwickler schon etwas an… 😉
PS: Als ich fast fertig war, entdeckte ich eine sehr gute und knappe englische Liste der Hacks… Pech. Die ist auch deswegen interessant, weil darin auch alte Hacks enthalten sind.