S_QLInjection O_pportunities N_eglegt Y_our Identity

VON Dr. Wolf SiegertZUM Donnerstag Letzte Bearbeitung: 16. Januar 2015 um 13 Uhr 54 Minuten

 

I.

Was der Klau von Bankdaten betrifft, haben wir in den letzten Jahren schon eine Reihe von Bravourstückchen erlebt.

Und erfahren, dass sogar staatliche Stellen als Käufer solcher Helerware auf dem Schwarzmarkt aufgetreten sind: zum Wohle und im Interesse des Steuerzahlers, wie sie sagten.

Inzwischen hat auch hier ein Paradigmenwechsel stattgefunden: vom "B-to-B" in den "B-to-C"-Markt.

Opfer sind heute nicht länger nur die "Bösen", sondern auch die "Guten", nicht länger nur die "Alten", sondern auch die "Jungen", nicht länger nur die "Reichen", sondern Konsumenten wie Du und ich.

II.

Gestern in den ZDF-heute-Nachrichten nun die Meldung, dass Nutzerdaten von über 70-Millionen Nutzern und Käufern der Sony Playstation und des Musikdienstes Qriocity-Entertainment in unbefugte Hände gekommen seien.

Möglicherweise aus Rache: War es doch einem jungen Mann gelungen, den Schutzmechanismus der Konsole zu knacken und das Gerät damit für andere Spiele als die von Sony vertriebenen nutzen zu können.

In einer aussergerichtlichen Einigung war man übereingekommen, dass solches Tun unterbleibt und die inzwischen im Netz veröffentlichte "Bedienungsanleitung" wieder "depubliziert" wird.

Da der nachfolgende Aufruf zum Sony-Boykott das Unternehmen wirtschaflich nicht gerade gefährtet hatte, jetzt dieses?

III.

Gigantischer Datenklau: Hacker haben Passwörter, Adressen und möglicherweise auch Kreditkarten-Nummern von 77 Millionen Sony-Kunden gestohlen. Betroffen ist vor allem das PlayStation Network.

Auf der Sony FAQ-Seite heisst das so:

We discovered between April 17 and April 19 there was an illegal and unauthorized intrusion into our network.

Bekanntgemacht wurde dieser Diebstahl aber erst Jetzt: Unglaublich, aber wahr!

Trotz dieser Verzögerung weiss keiner wirklich genau, wer nun wirklich was an Daten von den Servern habe absaugen können. Aber man geht davon aus, dass dazu gehören:
— Name
— Adresse
— Telefonnummer [?]
— E-Mail
— Geburtsdatum [?]
— Logins
— Passwörter

Mehr noch, auch die
— Liste der Käufe
und ggf. auch
— die Kreditkarten-Informationen
hätten mit abgegriffen werden können.

Genaueres weiss man nicht. Vermutet wird, dass über eine SQL-Injection der Zugriff ermöglicht wurde. [1]

IV.

Und das ZDF weiter:

"Das ist nicht nur ein PR-Desaster für Sony", erklärte Graham Cluley von der Internetsicherheitsfirma Sophos. "Es ist eine sehr reale Gefahr für viele Nutzer." Da viele Sony-Kunden das gleiche Passwort auch für andere Webseiten benutzten, könnte sich das Problem noch ausweiten, warnte der Experte auf der Internetseite von Sophos. Zudem könnten sich die Hacker als Sony-Verantwortliche ausgeben und die geklauten E-Mail-Adressen mit Schadprogrammen wie Trojanern attackieren, um an noch mehr Daten zu gelangen.

V.

In den Nachrichten wird auch darauf aufmerksam gemacht, dass es auf der "heute.de"-Webseite weiter Informationen gäbe.

Und wer suchet, der findet?

In der Tat findet man dort einen Link zu der Seite:

heute.de - Daten in Gefahr.

Aber das hier zitierte Interview mit dem Sophos-Experten ist auch dort nicht zu finden... weil diese schon als Schleichwerbung gilt?

Was sehr verwunderlich wäre, ist doch Sophos einer der wenigen grossen Anbieter von Sicherheits-Schutz-Software, die fast nur im "B-to-B"-Bereich Geschäfte machen.

VI.

Hier geht die Auseinandersetzung weiter: Der Name eines der exponierten Widersachers: George Hotz.
Sein Song kann HIER als MP3-File heruntergeladen und HIER auf YouTube angesehen werden:

Yo it’s geohot
And for those that don’t know
I’m getting sued by Sony

Let’s take this out of the courtroom and into the streets
I’m a beast, at the least, you’ll face me in the northeast
Get my ire up, light my fire
I’ll go harder than Eminem went at Mariah
Call me a liar
Pound me in the ass with no lube, chafing
You’re fucking with the dude who got the keys to your safe and
Those that can’t do bring suits
Cry to your Uncle Sam to settle disputes
Thought you’d tackle this with a little more tact
But then again fudgepackers, I don’t know Jack

I shed a tear everytime I think of Lik Sang
But shit man, they’re a corporation
And I’m a personification of freedom for all
You fill dockets, like thats a concept foreign to y’all
While lawyers muddy water and TROs stall
Out of business is jail for me
And you’re suing me civilly

Exhibit this in the courtroom
Go on, do it, I dare you

Anmerkungen

[1Die zuvor von "Anonymous" abgeschossene DOS-Attacke allerdings steht mit diesem Datenklau offensichtlich nicht im Zusammenhang.


 An dieser Stelle wird der Text von 4564 Zeichen mit folgendem VG Wort Zählpixel erfasst:
bcccb687a28758ddd4b784aadb7199