Le piratage de Sony rendu possible grâce aux serveurs non patchés/mis à jour ?

1
65

Le témoignage du Congrès avant le Sous-comité de la Chambre du commerce a révélé beaucoup de choses qui apportent un éclairage totalement différent sur ??la violation du PSN de Sony.

D’une part, il semble que tout ce malheur aurait pu être évité – ou, du moins, rendu beaucoup plus difficile pour les attaquants – si Sony avait écouté les intervenants sur les forums publics d’Internet (dont l’un, soit dit en passant, est surveillé par les employés de Sony) qui ont souligné le fait que Sony utilisait des versions du logiciel de serveur Web Apache dépassées. De plus, le fait qu’ils n’avaient pas de pare-feu installé s’est aussi fait entendre…

Le fait que cela était connu quelques mois avant que la violation ai été révélée a été expliquer par le Dr Gene Spafford de l’Université de Purdue, qui a été amené à témoigner. Sony a également été invité à participer à l’audience.

Bien que, selon Consumer Reports, la société a envoyé une lettre à la commission en indiquant qu’il avait ajouté un logiciel de surveillance automatisé et amélioré la sécurité des données ainsi que le cryptage pour ses systèmes avant que l’infraction ne se soit produite.

Dans la lettre, Sony a refusé de préciser ce que l’enquête a découvert jusqu’à présent, mais fait allusion à la possibilité que le groupe d’hacktivistes en ligne, les Anonymous, ont été impliqués dans l’attaque. La société affirme que le fait que les défenses de ses systèmes ont été abaissées par des attaques déni de service (très probablement) orchestrés par les Anonymous et que leur équipe en ligne a été complètement concentré sur ce point, sur ce qui a permis la violation de passer inaperçue pendant un certain temps. La société a également dit avoir trouvé sur l’un de ses serveurs un fichier nommé “Anonyme”, qui contenait le texte «Nous sommes Légion.”

Sony permet la possibilité que les deux attaques n’ont pas été en relation, mais il semble que l’intention est néanmoins de placer le blâme sur les Anonymous. “En tout cas, ceux qui ont participé à l’attaque par déni de service doivent comprendre qu’ils aidaient, en le sachant ou non, le vol à grande échelle qui a non seulement laissé Sony en victime, mais aussi de nombreux clients de Sony à travers le monde”, a déclaré Sony dans la lettre.

Comme une réponse à ces allégations, les Anonymous ont publié une déclaration disant que “les Anonymous n’ont jamais été connus pour avoir trempés dans le vol de carte de crédit. Celui qui s’est introduit dans les serveurs de Sony pour voler les informations de carte de crédit et qui a laissé un document accusant les Anonymous a clairement voulu nous faire accuser pour le vol le plus important de l’histoire numérique. Celui qui est en fait associé à notre mouvement ferait quelque chose qui invite une réponse massive du droit d’exécution.”

La lettre Sony confirme également que la violation a été repérée le 19 avril, a été confirmée en interne le 20 avril et que le FBI a été notifié le 22 avril.

Les commentaires sont fermés.