Usługa PlayStation Network po raz kolejny podatna na ataki

Korporacja Sony nie radzi sobie najlepiej jeżeli chodzi o bezpieczeństwo swoich usług oraz wdrażanie poprawe. Zapewne wszyscy pamiętamy zamieszanie z 2011 roku, kiedy to usługa Play Station Network była ciągle atakowana przez cyberprzestępców i na domiar złego skutecznie. W sieci znalazły się numery kart kredytowych, zaś sama usługa była przez bardzo długi czas nieaktywna. Naprawianie szkód po ataku pochłonęło zapewne bardzo dużo pieniędzy i po takiej przygodzie każda firma powinna być przeczulona na punkcie bezpieczeństwa, ponieważ druga taka wpadka mogłaby się okazać katastrofą. Niestety Sony jakoś za specjalnie nie bierze sobie do serca zgłoszeń na temat błędów i cały czas bagatelizuje tę sprawę. Niemieckie media donoszą o kolejnej luce, która może stanowić dużo zagrożenie.

Historia lubi się powtarzać.

Aria Akhavan postanowiła przeanalizować zabezpieczenia usługi PlayStation Network i okazało się, że na stronach wsparcia technicznego możliwe jest wykonanie SQL Injection - jest to sformułowanie specjalnego zapytania w pasku adresu przeglądarki, które może np. wyświetlić zawartość konkretnej tabeli w bazie danych. Tak również jest i w tym przypadku. Przy pomocy odpowiedniego zapytania możliwe jest wyświetlenie w przeglądarce internetowej zawartości bazy danych, w której przechowywane są wrażliwe informacje dotyczące użytkowników tej usługi.

Najbardziej interesujące jest to, że odkrywczyni luki zgłosiła ten błąd ponad 2 tygodnie temu, jednak korporacja do tej pory nic z tym nie zrobiła, więc badaczka postanowiła podzielić się swoim odkrycie z całym światem. Na szczęście nie zaprezentowała gotowej metody, która umożliwiłaby wyświetlenie zawartości wspomnianej bazy danych. Ten przykład idealnie obrazuje, że korporacja nic się nie nauczyła od roku 2011 roku i nasze dane wciąż nie są odpowiednio zabezpieczane. Mamy nadzieje, że po nagłośnieniu luki zostanie ona przez firmę szybko załatana. Przy okazji zalecamy zmianę hasła.

Źródło: Golem