Τα προσωπικά στοιχεία των χρηστών του Sony Playstation Network θα μπορούσαν να είναι άλλη μια φορά σε κίνδυνο λόγω ενός bug που επιτρέπει blind SQL injection στην ιστοσελίδα της, όπως ισχυρίζεται ένας penetration tester.
Ο 20χρονος Aria Akhavan από την Αυστρία, αναφέρει ότι ανακάλυψε μια ευπάθεια που θα μπορούσε να επιτρέψει σε έναν εισβολέα να αποκτήσει πληροφορίες από τη βάση δεδομένων της ιστοσελίδας, χρησιμοποιώντας SQL queries.
Η ευπάθεια είναι δύσκολο να αξιοποιηθεί, αλλά δεν είναι ακατόρθωτο.
Ένα blind SQL injection είναι πιο δύσκολο να αποδώσει καρπούς αν το συγκρίνουμε με ένα κανονικό SQL injection, επειδή τα δεδομένα δεν εμφανίζονται στην ιστοσελίδα άμεσα. Η σελίδα επιστρέφει ένα γενικό μήνυμα λάθους και ο εισβολέας θα πρέπει να αρχίσει να δίνει ερωτήσεις αληθείς ή ψευδείς με SQL queries, προκειμένου να ανακτήσει τις πληροφορίες της βάσης δεδομένων.
Παρά το γεγονός ότι αυτό το είδος της επίθεσης απαιτεί περισσότερο χρόνο για να πραγματοποιηθεί, μπορεί να επιταχυνθεί με τη χρήση αυτοματοποιημένων εργαλείων, όταν ο στόχος και η ευπάθεια έχουν επισημανθεί.
Ο ερευνητής ασφάλειας, δήλωσε σε συνέντευξή του στο Effect Hacking ότι έχει έρθει σε επαφή με τη Sony για αυτό το θέμα από τα μέσα Οκτωβρίου, αλλά δεν έχει λάβει ακόμη απάντηση. Εν τω μεταξύ η ευπάθεια συνεχίζει να υπάρχει.
Ο Akhavan δήλωσε ότι μελετάει τεχνικές δοκιμές διείσδυσης για περίπου πέντε χρόνια και αρνήθηκε να μοιραστεί τα αποτελέσματα των δοκιμών που πραγματοποίησε στο site της Sony.
Να υπενθυμίσουμε ότι η Sony έχει ιστορία περιστατικών παραβίασης δεδομένων. Πριν από λίγο καιρό η εταιρεία ήταν σταθερός στόχος μιας ομάδας που είναι γνωστή ως Lizard Squad. Η ομάδα πραγματοποιούσε επιθέσεις DDoS, κόβοντας την πρόσβαση στο ηλεκτρονικό δίκτυο.
Οι επιθέσεις DDoS δεν έχουν σχεδιαστεί για να υποκλέπτουν στοιχεία, αν και μπορούν να χρησιμοποιηθούν για να αποσπάσουν την προσοχή από μια διαφορετική επίθεση που έχει αυτό το σκοπό και γίνεται από “πίσω”.
Μια προηγούμενη επίθεση στο PlayStation Network, οδήγησε στη διαρροή προσωπικών και οικονομικών στοιχείων από τουλάχιστον 77 εκατομμύρια πελάτες της εταιρείας.