Tényleg meghekkelték a Sony-t

​A Sony több mint hatezer alkalmazottjának és azok egyes családtagjainak adata szivárgott ki egy biztonsági incidens során.
 

A Sony Interactive Entertainment egy adatvédelmi nyilatkozatott adott ki, amelyben arról számolt be, hogy egy kibertámadás következtében 6791 amerikai munkavállalójának és egyes esetekben azok családtagjainak adata került illetéktelen kezekbe. A biztonsági incidens 2023. május 28-án történt, amikor az elkövetők a MOVEit Transfer sérülékenységének kihasználásával kaparintottak meg személyes adatokat. Az akkor nulladik napi biztonsági hibának számító, CVE-2023-34362 jelzésű sebezhetőségre nyilvánosan csak három nappal az eset után derült fény, így a támadáskor még nem volt elérhető hozzá hibajavítás. Ezért - sok más szervezethez és vállalathoz hasonlóan - a Sony rendszere is teljesen kiszolgáltatott volt a károkozásokkal szemben.
 
Az SQL injection alapú támadásokat lehetővé tevő biztonsági rést ezúttal is a Clop zsarolóvírus mögött meghúzódó banda használta ki. A kibercsoport júniusban tette fel az áldozatainak listájára a Sony-t, de a vállalat akkor még nem reagált érdemben a történtekre. A háttérben azonban már hatóságok és külső szakértők bevonásával zajlott az incidens felderítése.
 
A Sony jelezte, hogy az adatbiztonsági incidens által érintett személyek számára hitelkártya monitorozó szolgáltatásra fizetett elő, hogy az esetleges további károkozásoknak elejét lehessen venni.
 
A vállalat kapcsán fontos megemlíteni, hogy a szakemberei egy másik incidens vizsgálatát is végzik. A múlt hónapban ugyanis az egyik hacker fórumon egy olyan állomány jelent meg, amely állítólag Sony rendszeréből származó, 3,14 GB-nyi adatot és fájl tartalmazott. Egyebek mellett tanúsítványokat, licencgenerálásra használt emulátorokat és SonarQube platformmal kapcsolatos információkat is.