Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Lỗi SQL Injection gây nguy hiểm cho dữ liệu người dùng Sony PlayStation
Người dùng mạng Sony Playstation có thể gặp nguy hiểm do lỗi blind SQL injection trên website. Aria Akhavan vừa công bố phát hiện lỗi cho phép kẻ xấu có thể lấy thông tin từ dữ liệu khách hàng của Sony bằng cách sử dụng truy vấn SQL.
Lỗi có thể bị khai thác dù rất khó
Lỗi blind SQL injection khó khai thác hơn các lỗi SQL injection thông thường bởi dữ liệu không trực tiếp hiển thị trên trang web. Thay vào đó, trang trả về một thông báo lỗi web và kẻ xấu cần đặt các câu hỏi đúng sai thông qua câu lệnh SQL để lấy thông tin từ cơ sở dữ liệu.
Mặc dù kiểu tấn công này đòi hỏi nhiều thời gian thực hiện, nhưng có thể tăng tốc bằng cách sử dụng công cụ tự động khi mục tiêu và lỗ hổng đã được xác định chính xác.
Akhavan cho biết đã thông báo về lỗ hổng cho phía Sony vào giữa tháng 10, nhưng cho đến nay vẫn chưa nhận được câu trả lời nào. Đến thời điểm hiện tại, lỗi này vẫn chưa được vá.
Loại dữ liệu có thể bị lộ lọt hiện chưa rõ ràng. Nhưng ít nhất tên đăng nhập và mã băm của mật khẩu là những thông tin có thể rơi vào tay hacker.
Sony cũng từng gặp rắc rối với vụ việc lộ lọt dữ liệu trước đây
Sony liên tục là mục tiêu của hacker, và trong vụ việc gần đây nhóm Lizard Squad đã thực hiện một vụ DDoS lớn, tấn công vào các dịch vụ của công ty, ngắt truy cập vào mạng chơi trực tuyến tại nhiều khu vực trên thế giới.
Trong năm 2011, Sony cũng từng là nạn nhân của nhiều cuộc tấn công của nhóm hacker Anonymous và LulzSec. Lợi dụng lỗ hổng injection SQL đơn giản, LulzSec đã lấy thông tin khách hàng (gồm: password, địa chỉ email, địa chỉ nhà, ngày sinh và dữ liệu opt-in của Sony cùng với tài khoản) của hơn một triệu người dùng SonyPictures.com.
Nguồn: Softpedia
Lỗi có thể bị khai thác dù rất khó
Lỗi blind SQL injection khó khai thác hơn các lỗi SQL injection thông thường bởi dữ liệu không trực tiếp hiển thị trên trang web. Thay vào đó, trang trả về một thông báo lỗi web và kẻ xấu cần đặt các câu hỏi đúng sai thông qua câu lệnh SQL để lấy thông tin từ cơ sở dữ liệu.
Mặc dù kiểu tấn công này đòi hỏi nhiều thời gian thực hiện, nhưng có thể tăng tốc bằng cách sử dụng công cụ tự động khi mục tiêu và lỗ hổng đã được xác định chính xác.
Akhavan cho biết đã thông báo về lỗ hổng cho phía Sony vào giữa tháng 10, nhưng cho đến nay vẫn chưa nhận được câu trả lời nào. Đến thời điểm hiện tại, lỗi này vẫn chưa được vá.
Loại dữ liệu có thể bị lộ lọt hiện chưa rõ ràng. Nhưng ít nhất tên đăng nhập và mã băm của mật khẩu là những thông tin có thể rơi vào tay hacker.
Sony cũng từng gặp rắc rối với vụ việc lộ lọt dữ liệu trước đây
Sony liên tục là mục tiêu của hacker, và trong vụ việc gần đây nhóm Lizard Squad đã thực hiện một vụ DDoS lớn, tấn công vào các dịch vụ của công ty, ngắt truy cập vào mạng chơi trực tuyến tại nhiều khu vực trên thế giới.
Trong năm 2011, Sony cũng từng là nạn nhân của nhiều cuộc tấn công của nhóm hacker Anonymous và LulzSec. Lợi dụng lỗ hổng injection SQL đơn giản, LulzSec đã lấy thông tin khách hàng (gồm: password, địa chỉ email, địa chỉ nhà, ngày sinh và dữ liệu opt-in của Sony cùng với tài khoản) của hơn một triệu người dùng SonyPictures.com.
Nguồn: Softpedia
Chỉnh sửa lần cuối bởi người điều hành: