LulzSec, uno de los grupos de hackers relacionados con alguno de los anteriores ataques a Sony, ha vuelto a la carga, y aseguran haber podido acceder a varios sitios web de Sony Pictures, de donde habrían conseguido información personal sin cifrar de más de 1 millón de personas.
En un comunicado difundido el jueves, el grupo afirmó que también había logrado poner en peligro todos los "detalles administrativos", incluyendo contraseñas de administrador, así como 75.000 "códigos de música" y 3,5 millones de "cupones de música" de redes y sitios web de Sony.
El grupo ha publicado una lista completa de los sitios comprometidos, así como enlaces a documentos que contienen muestras de lo que decía era material robado de Sony.
Las bases de datos comprometidas incluyen algunas que parecen contener información de personas que participaron en campañas promocionales de Sony Pictures en colaboración con otras compañías. Además incluirían tanto información de usuarios como de los propios empleados de Sony.
"SonyPictures.com fue atacada con una inyección SQL muy simple, una de las vulnerabilidades más primitivas y comunes, como todos deberíamos saber a estas alturas", dijo LulzSec. "A partir de una sola inyección, se accede a TODO."
"Lo que es peor es que cada bit de datos que se ha obtenido no estaba cifrado", afirma el grupo. "Sony almacena más de 1.000.000 de contraseñas de sus clientes en texto plano, lo que significa que no hay más problema que copiarlo."
LulzSec dijo que había copiado y publicado sólo una muestra relativamente pequeña de la información que había logrado en el acceso porque no tienen los recursos para descargar todo. El grupo dijo que en teoría podría haber "tomado hasta el último bit de información", pero que habría llevado semanas.
El grupo publicó un enlace a la vulnerabilidad de inyección SQL que había explotado e invitó a que cualquiera pueda comprobar personalmente.
En un breve comentario enviado por correo electrónico, Jim Kennedy, vicepresidente ejecutivo de comunicaciones globales de Sony Pictures Entertainment, dijo que la compañía está estudiando las alegaciones formuladas por LulzSec, pero no ofreció más comentarios.
Si la brecha es tan grande como LulzSec ha afirmado, sería el segundo gran ataque que Sony ha sufrido desde mediados de abril, cuando los intrusos irrumpieron en PlayStation Network y Sony Online Entertainment y dejaron al descubierto los datos personales de 100 millones de titulares de cuentas.
Desde entonces, ha habido una serie de intrusiones en varios sitios web de Sony en todo el mundo.
Los ataques, como el llevado a cabo en contra de Sony Pictures por LulzSec, se han diseñado principalmente para avergonzar a Sony, que ha provocado la ira de muchos hackers por su postura de línea dura sobre los derechos de autor.
Los continuos ataques se han convertido en un gran problema para la empresa. Sony se vio obligada a cerrar su PlayStation Network y Sony Entertainment redes en línea durante varios días para corregir los problemas derivados de las intrusiones. Incluso ahora, las redes no han vuelto a la normalidad.
Varios de estos ataques son el resultado de errores de inyección SQL que eran muy fáciles de encontrar y explotar.
