Sony laisse fuiter 1 million de comptes personnels supplémentaires

3
91

Alors qu’il doit rétablir le Playstation Network en fin de semaine, Sony n’a pas fini de lutter avec ses failles de sécurité et la fuite de données personnelles qui risquent de nuire longtemps à sa réputation. Jeudi soir, un groupe de hackers a révélé qu’il avait pu obtenir plus d’un million de comptes utilisateurs et de mots de passe stockés en clair sur un serveur de Sony Pictures. Une partie de l’archive est déjà mise en ligne.

Le cauchemar continue pour Sony. La firme japonaise, qui a déjà subi une véritable humiliation avec le piratage du Playstation Network, de Sony Online Entertainment et de Qriocity, n’a pas fini de se prendre la tête à deux mains et de voir son cours en bourse dégringoler. Un groupe de hackers baptisé LulzSec a révélé jeudi soir qu’il a mis la main sur plus d’un million de comptes d’utilisateurs du site de sa filiale de production cinématographique, SonyPictures.com, ainsi que des données issues des filiales belge et néerlandaise de Sony BMG.

Les données, qui ont été en partie mises en ligne dans une archive diffusée sur MediaFire et BitTorrent, comprennent des noms d’utilisateurs et des mots de passe en clair,  des adresses e-mail, adresses postales, dates de naissances et autres informations personnelles. Des données d’administrateurs ont également été découvertes, ainsi que 75 000 “codes de musique” et 3,5 millions de “codes de réduction”. Parmi les données d’utilisateurs figurent des adresses e-mails et mots de passe d’employés du gouvernement et de l’armée américaine. Rien n’était chiffré pour protéger les données en cas de piratage.

LulzSec, qui rejette toute affiliation avec Anonymous, s’est fait connaître ces derniers jours avec le piratage des sites des chaînes FOX et PBS. Cette dernière a vu son site “defacé” le 30 mai dernier en représailles d’un reportage jugé inéquitable sur Wikileaks et le soldat Bradley Manning. Des noms d’utilisateurs et des mots de passe d’administrateurs avaient également été révélés.

Le groupe avait prévenu cette semaine de son intention de révéler de nouvelles données personnelles issues des serveurs mal sécurisés de Sony. Une volonté de venger GeoHot, contraint à un accord amiable après les poursuites judiciaires entamées contre lui par Sony. LulzSec avait expliqué à Forbes que la nouvelle fuite ne serait pas aussi importante que les 100 millions de comptes obtenus sur le Playstation Network, mais que ça serait “certainement beaucoup plus gros que ce que nous avons fait à Sony Japon“, où des données ont également été piratées le 23 mai.

En réaction, Sony avait assuré jeudi à l’International Business Times qu’il avait “effectué des tests réguliers, approfondis, des améliorations de sécurité implémentées” et que “après enquête, il n’y a aucune indication que les allégations de [LulzSec] soient exactes pour le moment“. Elles l’étaient.

Pourtant la veille, sur Twitter, LulzSec avait provoqué Sony en expliquant qu’il a pu télécharger des données internes sur ses serveurs sans se faire remarquer. Comme sa réaction à Forbes le montre, Sony s’était concentré sur les seules protections ajoutées aux services de jeux vidéo de Sony, alors que LulzSec s’attaquait aux autres activités du groupe.

Le plus dur, pour Sony, sera donc de s’expliquer. Les données n’auraient été obtenues que par une simple injection SQL.

 

Source : Numerama

Les commentaires sont fermés.