Hacktivisten knacken Datenbank von Sony Pictures
Erneut sind Hacker in Server von Sony eingedrungen. Sie wollen Zugriff auf über eine Million Kundendaten gehabt haben und veröffentlichten als Beweis zehntausende Datensätze – einschließlich der Passwörter im Klartext.
- Ronald Eikenberg
Medienwirksam verkündeten die Hacktivisten von LulzSec am gestrigen Donnerstagabend kurz nach 22 Uhr bei Twitter, dass es ihnen gelungen ist, die Website von Sony Pictures zu kompromittieren. Die Hacker hatten nach eigenen Angaben Zugriff auf die persönlichen Daten von Administratoren und über einer Million Nutzern, darunter Anschriften, Telefonnummern, Mailadressen und Passwörter – die Sony offenbar ungeschützt im Klartext gespeichert hat. Als Beweis haben die Hacker zehntausende Datensätze für jedermann zugänglich ins Internet gestellt.
Zudem hatte LulzSec Zugriff auf über 3,5 Millionen Gutscheincodes sowie die Datenbanken der niederländischen und belgischen Niederlassungen von SonyBMG. Nach eigenen Angaben hat die Hackergruppe "aus Ressourcengründen" keine vollständige Kopie der Datenbanken gezogen, auf die sie Zugriff hatten. Dies hätte laut LulzSec noch einige Wochen in Anspruch genommen. Der Einbruch gelang durch eine ordinäre SQL-Injection-Lücke auf der Webseite zum Film Ghostbusters.
Die Hacker haben zuvor bereits Auszüge aus der Datenbank von Sony Music Japan veröffentlicht und übernehmen auch die Verantwortung für die Einbrüche bei den US-Fernsehsendern Fox und PBS. Als Sprachrohr nutzt LulzSec stets den Microblogging-Dienst Twitter. Hier haben sie schon vor Tagen die Veröffentlichung der Sony-Daten angekündigt. Dies wirft die Frage auf, ob der Microblogging-Dienst auf eine derartige Ankündigungen nicht hätte reagieren müssen – etwa durch eine Stilllegung des Accounts.
Sony ist ein beliebtes Angriffsziel von Netzaktivisten, seitdem der Elektronikriese im Januar dieses Jahres juristisch gegen den PS3-Hacker George Hotz vorgegangen ist. Die beiden Parteien haben sich im April außergerichtlich geeinigt, doch die Angriffe gehen weiter. Wer für den spektakulären Einbruch in das PlayStation Network verantwortlich ist, weiter unklar. Ende April haben Unbekannte hier die Daten von über 100 Millionen Kunden entwendet.
Als Nutzer kann man sich nur schützen, indem man weiterhin den Grundsatz befolgt, auf jeder Webseite ein anderes Passwort zu nutzen. Sollten einmal Benutzername und Passwort in die falschen Hände geraten, kann sich ein Datendieb mit den gestohlenen Daten dann wenigstens nicht auch noch auf anderen Seiten wie etwa beim Webmail-Anbieter oder Facebook einloggen. (rei)
