Nederlandse Sony-accounts simpel gestolen
Bij Sony zijn opnieuw een miljoen gebruikersaccounts gekaapt. Hackersgroep LulzSec heeft ook Nederlandse en Belgische aanmeldgegevens op The Pirate Bay gezet.
Hackersgroep LulzSec maakt via Twitter bekend dat het Sonypictures.com met succes heeft aangevallen. Daarbij heeft de groep naar eigen zeggen de gegevens van meer dan een miljoen gebruikers bemachtigd.
Die claim maakt LulzSec meteen hard. Het heeft de bestanden die het te pakken kreeg online gezet via zijn site en laten verspreiden via bittorrent. Onder die gegevens zit een bestand van Sony BMG Music Entertainment Belgium en een soortgelijk exemplaar voor Nederland.
[related_article id=”158578″]
Persdatabase
In het Belgische bestand staat een handvol gebruikersnamen, e-mailadressen en wachtwoorden van Belgische en Nederlandse Sony-medewerkers. Het Nederlandse bestand bevat de log-ins van een persdatabase. Afgaande op de gebruikte namen en wachtwoorden gaat het om een fotosite van SonyBMG.
In dat laatste bestand zitten enkele honderden log-ins van diverse Belgische en Nederlandse media, concertorganisatoren en andere gebruikers. Gaande van Het Laatste Nieuws, Le Soir, en Studio Brussel tot Sanoma en Marie Claire.
Persoonlijke gegevens
Omdat het hoofdzakelijk om gebruiksgegevens van redacties en organisaties gaat, zijn er hier niet al te veel persoonlijke gegevens te rapen. Dat is echter wel het geval bij de log-ins die LulzSec van Sonypictures.com kon stelen. In één bestand vinden we niet alleen gegevens zoals e-mailadres, gebruikersnaam en wachtwoord, maar ook namen, adressen en telefoonnummers.
Hoewel het om gebruikersgegevens gaat van Sony, loopt een groot aantal gebruikers van Sonypictures.com momenteel het risico dat hun e-mailaccount wordt misbruikt omdat ze hun e-mailwachtwoord ook bij Sony hebben gebruikt. Die kans was er al sinds de hack van het PlayStation Network. Maar omdat deze bestanden online gedeeld worden, kan bijna iedereen er zijn gang mee gaan.
Verder in de bestanden vinden we onder meer duizenden muziekcodes en coupons, mogelijk bruikbaar om muziek van Sony gratis of goedkoop te downloaden.
X-Factor-kandidaten
LulzSec hackte eerder al de Amerikaanse zender PBS en Fox, en zette ook daarvan bestanden online. Van Fox staat er onder meer een lijst met zeventienduizend kandidaten van de Amerikaanse versie van X-Factor. Hier vinden we niet alleen naam en geboortedatum maar ook telefoonnummers en e-mailadressen terug.
Onze redactie heeft geprobeerd telefonisch contact op te nemen met de Belgische en Nederlandse vestiging van Sony Music om te verifiëren of de gegevens echt zijn. Daar kregen we op het moment van schrijven echter niemand aan de lijn.
Slecht beveiligd
In een persbericht dat bij de torrentbestanden zit, zegt LulzSec dat het niet bijzonder moeilijk was om de hack uit te voeren. “Sonypictures.com werd gehackt door een eenvoudige SQL-injectie, een van de meest primitieve en meest voorkomende kwetsbaarheden”, klinkt het.
“Wat erger is, is dat elke stukje data dat we hebben meegenomen niet versleuteld was. Sony heeft meer dan een miljoen wachtwoorden van zijn klanten in platte tekst bewaard, waardoor het gewoon een kwestie van meenemen is.”