סוני מודה: "נגנבו פרטים אישיים בפריצה לשרתי Sony Pictures"
מתי זה ייגמר? במתקפת ההאקרים הנוכחית נגנבו עשרות אלפי פרטים של לקוחות, בהם סיסמאות הכניסה לאתר. סוני מבהירה כי לא נגנבו פרטי כרטיסי אשראי
בפנייה שנשלחה למשתמשים מטעם חברת הסרטים Sony Pictures, ושפורסמה גם באתר החברה, מודה סוני כי בפריצה אליה נגנבו פרטיהם האישיים של 37.5 אלף לקוחות. בסוף השבוע שעבר הודיעה קבוצת ההאקרים Lulzsec כי היא אחראית לפריצה, לדבריה כדי להוכיח שסוני עדיין איננה מאובטחת.
"ב-2 ביוני גילינו כי היינו יעד למתקפה מקוונת, לאחר שהאקרים טענו כי פרצו לאתר sonypictures.com", כתבה החברה. "עם הגילוי, הצוות שלנו שכר מומחים חיצוניים לצורך ניהול חקירה. בנוסף, הסרנו מהרשת את מאגרי המידע שאולי נפגעו ואשר מכילים מידע אישי ופנינו ל-FBI, שאיתו אנו פועלים על מנת לזהות את האחראים לפשע".
החברה כתבה ללקוחותיה: "אנו סבורים שפורץ אחד או יותר הצליח להשיג חלק או את כל המידע שסיפקת לנו בעת שהשתתפת במבצעי קידום או הגרלות. המידע כולל: שם, כתובת, אימייל, מספר טלפון, מין, תאריך לידה, שם משתמש וסיסמה".
אף על פי שסוני הדגישה שלא נגנבו פרטים דוגמת מספר ביטוח לאומי או פרטי כרטיס אשראי (שכן אלו לא נשמרו על ידה), עדיין מדובר בפרטים רגישים ביותר, היכולים לשמש בביצוע הונאות גניבת זהות. בנוסף, שם המשתמש והסיסמה יכולים לסייע לפורצים לחדור לשירותים מקוונים אחרים של הגולש - שכן רבים מהם עושים שימוש בפרטי הרשמה זהים באתרים שונים.
איך זה קורה לה שוב?
ההודעה של סוני שבה וחושפת כמה נקודות בעייתיות בנוהלי העבודה והאבטחה שלה. ראשית, מטריד לגלות שהחברה לא זיהתה בעצמה את הפריצה למאגר המידע שלה, והדבר נודע לה על כך רק לאחר שהאקרים עצמם פרסמו את דבר קיומה. עובדה זו מעלה דאגות לגבי מערכות הניטור הפנימיות של סוני, וכן את השאלה האם יש פריצות נוספות שסוני אינה מודעת אליהן.
שנית, לא ברור מדוע מאגרי מידע ובהם פרטי משתתפים בהגרלות ובמבצעים, שחלקם ודאי כבר הסתיימו, היו מחוברים לרשת ונגישים בצורה מקוונת. הליך פעולה סביר ובטוח יותר הוא לאחסן מידע מסוג זה באופן לא מקוון, ובכך להקטין משמעותית את הסיכון שייפול לידי פורצים. נראה שלמרות הפריצות הכמעט יומיומיות לשירותיה השונים, סוני עדיין לא ביצעה שינוי מאסיבי, כלל ארגוני ומיידי בנוהלי האבטחה והעבודה שלה.