Sony hackeada de nuevo: ¡contraseñas en texto plano!

ATENCIÓN: Este sitio ha dejado de actualizarse el 15 de Abril de 2012 y se mantiene como archivo histórico de los contenidos publicados entre 2004 y 2012. Por favor, visita nuestro nuevo sitio para acceder a información actualizada. Muchas gracias.

Sony hackeada de nuevo: ¡contraseñas en texto plano!

Jun 03

Por Johns |

Acabo de leer en Arstechnica que han vuelto a hackear algunas páginas de Sony y han conseguido obtener datos de los usuarios.

La sorpresa mayúscula es el cómo (SQL injection) y lo que han encontrado (contraseñas en texto plano)...

Supongo que no soy el único que clama al cielo cuando lee estas cosas (y más teniendo en cuenta que, trabajando de programador de páginas Web, siempre procuré que todos los forms no fueran vulnerables a SQL injection, que no es tan difícil...) pero también tengo en cuenta lo complicado que es a veces convencer a tu jefe de que hay que invertir tiempo en ello pese a que puedan existir "proyectos más importantes".

¿Acaso hay algo más importante que la seguridad de nuestros datos y de los de nuestros clientes?

6 comentarios sobre Sony hackeada de nuevo: ¡contraseñas en texto plano!

¿Lo más importante?
Soun (no verificado)
3 Junio 2011 - 11:56pm
La pregunta que cierra el artículo me la sé: la cuenta de resultados. ¿Daba pasta montar un búnker en la PS3 para vender más juegos? Montemos el bunker. ¿Sigue dando pasta reforzar el bunker cuando nos lo rompen (de forma muy ridícula)? Invirtamos lo que haga falta para reforzar el bunker. Por otra parte, ¿podemos sacar algo de pasta reforzando la web? Pos que le den a la web, mete ahí al becario, y el mantenimiento lo puede hacer la señora de la limpieza que también está en el departamento de mantenimiento.

Demasiado habitual

inar
4 Junio 2011 - 12:24pm

Cuando el excesivo interés por el fin solapa al del medio. Lo que obvian, es que el medio es aun más importante, porque es precisamente lo que da lugar al fin.

Pero algunos solo saben de números en formato moneda, y sus esfuerzos (reforzando bunkers) van centrados en evitar que les toquen la cuenta de resultados. El resto es considerado solo complementario y secundario. "De valor añadido", como les gusta a ellos decir.

Hasta que algo pasa, y entonces ven como un pequeño eslabon débil puede echar al traste toda la cadena.

Sorprendente, pero ...
AgustínB
3 Junio 2011 - 11:20pm
Precisamente la semana pasada haciendo un curso de seguridad es sorprendente lo que te puedes encontrar.

Aunque tuvieran cifradas las contraseñas, muy probablemente si hubieran optado por hacer un hash MD5 sería relativamente fácil que muchas de las contraseñas estuvieran en los multiples recursos que ya tienen diccionarios de posibles contraseñas cifrados ya con MD5. Incluso hay también SHA-1.

De SQL Injection nos encuentramos por Internet varios sitios, aunque quizás de empresas pequeñitas.

Evidentemente es Sony una empresa enorme y tendrían que tener todas las medidas de seguridad exigibles pero ojo que hay cosas que dan miedo.

Lo grave es que durante el curso hemos encontrado algún banco on-line nacional también con XSS (Cross-Site Scripting) y eso si que es gravísimo. Algún compañero no lo veía tan grave hasta que probando con la máquina virtual vulnerable con la que hacíamos las pruebas se vio el potencial y el peligro como son robo de credenciales o lo que se os ocurra con javascript.

Si al hash MD5 o SHA-1 le

Lumbendil
4 Junio 2011 - 9:43am

Si al hash MD5 o SHA-1 le pones un salt, el cual no deberian poder llegar a conocer a no ser que tambien consigan acceso a la propia aplicacion, los diccionarios pasan a servir de nada. Con eso y usando SHA-1 (MD5 se puede llegar a romper aunque esté el salt) se puede tener una aplicacion mas o menos segura.

Ademas, teniendo en cuenta que ya habian sufrido el ataque, deberian haber usado alguna herramienta (que las hay) para testing de SQL injection, asi que digamos que por falta de posiblidades no es.

No sólo
usrdxt
3 Junio 2011 - 8:45pm
es el SQL injection, si no que almacenar las contraseñas en plano... madre mía, quién diría que se trata de una gran empresa.

Y peor

LlamameX
3 Junio 2011 - 9:51pm

¡Quién diría que es una empresa que acaba de sufrir un ataque!
¡Quién diría que es una empresa que sabe que está en el punto de mira!
¡Quién diría que es una empresa que ha aparecido en todos los medios como descuidada en cuanto a proteger la información de sus usuarios!
¡Quién diría que es una empresa que ha tenido desconectados a todos sus clientes durante semanas con la excusa de mejorar su seguridad!
¡Quién diría que es una empresa que ha tenido que compensar (si eso es posible) a todos sus clientes por esos mismos problemas!

y paro por que tengo que ir a cenar

Sobre el autor

Johns

Desconectado

Se le vio por aquí: hace 9 semanas 4 días

Ingresó: 02/10/2006

Kriptópolis

Criptografía y Seguridad