Η Sony Interactive Entertainment (Sony) ενημέρωσε τους τρέχοντες και πρώην υπαλλήλους καθώς και τα μέλη των οικογενειών τους για ένα περιστατικό κυβερνοασφάλειας που οδήγησε σε παραβίαση προσωπικών δεδομένων.
Η εταιρεία απέστειλε ειδοποίηση σε περίπου 6.800 άτομα, επιβεβαιώνοντας ότι η διαρροή έγινε λόγω εκμετάλλευσης μιας zero-day ευπάθειας στην πλατφόρμα MOVEit Transfer.
Το zero-day είναι το CVE-2023-34362, ένα σοβαρό σφάλμα SQL injection, που οδηγεί σε απομακρυσμένη εκτέλεση κώδικα. Η ransomware συμμορία Clop χρησιμοποίησε αυτή την ευπάθεια σε πολλές επιθέσεις επηρεάζοντας εκατοντάδες οργανισμούς σε όλο τον κόσμο.
Η ομάδα Clop πρόσθεσε τη Sony Group στη λίστα των θυμάτων της τον Ιούνιο. Ωστόσο, η εταιρεία δεν παρείχε δημόσια ανακοίνωση μέχρι τώρα.
Σύμφωνα με την ειδοποίηση για την παραβίαση δεδομένων, η αρχική επίθεση συνέβη στις 28 Μαΐου, τρεις μέρες πριν η Sony ενημερωθεί από την Progress Software (τον προμηθευτή του MOVEit) για το σφάλμα. Ωστόσο, το περιστατικό ανακαλύφθηκε στις αρχές Ιουνίου.
“Στις 2 Ιουνίου 2023, ανακαλύψαμε τις μη εξουσιοδοτημένες λήψεις, θέσαμε αμέσως την πλατφόρμα εκτός σύνδεσης και αποκαταστήσαμε την ευπάθεια“, αναφέρεται στην ειδοποίηση.
“Στη συνέχεια ξεκίνησε μια έρευνα με τη βοήθεια εξωτερικών εμπειρογνωμόνων στον τομέα της κυβερνοασφάλειας. Ειδοποιήσαμε επίσης τις αρχές επιβολής του νόμου“, αναφέρει η Sony στην ειδοποίηση παραβίασης δεδομένων.
Η Sony αναφέρει ότι το περιστατικό περιορίστηκε στη συγκεκριμένη πλατφόρμα και δεν επηρέασε κανένα από τα άλλα συστήματά της.
Ωστόσο, ευαίσθητες πληροφορίες που ανήκουν σε 6.791 άτομα στις Ηνωμένες Πολιτείες διέρρευσαν. Η εταιρεία έχει καθορίσει τις αποκαλυφθείσες λεπτομέρειες και τις έχει αναφέρει σε κάθε ατομική επιστολή.
Οι αποδέκτες της ειδοποίησης μπορούν να λάβουν δωρεάν υπηρεσίες credit monitoring και identity restoration μέσω Equifax, όπου μπορούν να έχουν πρόσβαση χρησιμοποιώντας τον μοναδικό κωδικό τους έως τις 29 Φεβρουαρίου 2024.
Sony: Και άλλη παραβίαση δεδομένων;
Προς το τέλος του προηγούμενου μήνα, υπήρξαν ισχυρισμοί σε hacking forums ότι η Sony είχε παραβιαστεί ξανά και είχαν κλαπεί δεδομένα μεγέθους 3,14 GB. Η εταιρεία είχε πει τότε ότι διερευνούσε αυτούς τους ισχυρισμούς.
Μάλιστα, δύο διαφορετικές hacking ομάδες ανέλαβαν την ευθύνη για την επίθεση. Οι πρώτες αναφορές για την επίθεση στα συστήματα της Sony ήρθαν από μια νέα ομάδα εκβιαστών με το όνομα RansomedVC. Ωστόσο, λίγο αργότερα εμφανίστηκε μια άλλη ομάδα, η MajorNelson, και διέψευσε τους ισχυρισμούς της RansomedVC, λέγοντας πως βρίσκεται εκείνη πίσω από την κυβερνοεπίθεση.
Ένας εκπρόσωπος της Sony ανέφερε στο BleepingComputer:
“Η Sony διερευνά πρόσφατες δημόσιες αξιώσεις για ένα περιστατικό ασφαλείας. Συνεργαζόμαστε με τρίτους εμπειρογνώμονες και έχουμε εντοπίσει δραστηριότητα σε έναν μεμονωμένο διακομιστή που βρίσκεται στην Ιαπωνία και χρησιμοποιείται για εσωτερικές δοκιμές για την επιχείρηση Entertainment, Technology and Services (ET&S).
Η Sony έχει θέσει αυτόν τον διακομιστή εκτός σύνδεσης, ενώ η έρευνα είναι σε εξέλιξη. Προς το παρόν, δεν υπάρχει καμία ένδειξη ότι τα δεδομένα πελατών ή επιχειρηματικών συνεργατών αποθηκεύτηκαν στον επηρεαζόμενο διακομιστή ή ότι επηρεάστηκαν άλλα συστήματα της Sony. Δεν υπήρξε καμία αρνητική επίδραση στις λειτουργίες της Sony“.
Ωστόσο, μετά και από τη δήλωση, διαπιστώνουμε ότι η Sony έχει υποστεί τουλάχιστον δύο παραβιάσεις ασφαλείας τους τελευταίους μήνες.
Η παραβίαση δεδομένων είναι μια συνθήκη που κανείς δεν επιθυμεί να αντιμετωπίσει, ειδικά μεγάλες εταιρείες όπως η Sony. Αυτά τα περιστατικά γεννούν ερωτηματικά για την ικανότητα των οργανισμών να προστατεύουν τα ευαίσθητα δεδομένα των χρηστών τους. Πέρα από τις άμεσες συνέπειες, όπως το κόστος ανάκτησης και επισκευής, οι παραβιάσεις δεδομένων μπορούν να προκαλέσουν βαθιά και μακρόχρονη ζημιά στη φήμη μιας εταιρείας. Είναι ζωτικής σημασίας για τις επιχειρήσεις να ενισχύσουν τα μέτρα ασφάλειας τους, αναθεωρώντας και ενημερώνοντας τακτικά τις πρακτικές και τις πολιτικές τους για την κυβερνοασφάλεια.
Ωστόσο, μετά την ανακάλυψη της παραβίασης, η Sony έδειξε την αποφασιστικότητά της να χειριστεί ορθά το ζήτημα. Η εταιρεία ξεκίνησε εσωτερική έρευνα για να κατανοήσει πλήρως τι έχει συμβεί.
Πηγή: www.bleepingcomputer.com