To będzie bolało – ponad 100 plików z tysiącami haseł Sony w sieci

dodał 4 grudnia 2014 o 09:51 w kategorii Włamania  z tagami:
To będzie bolało – ponad 100 plików z tysiącami haseł Sony w sieci

Myśleliśmy, że po ostatnich rewelacjach już nic nas nie zaskoczy, ale byliśmy w błędzie. Kilka godzin temu w sieci pojawiło się nowe archiwum pochodzące z włamania do Sony, zawierające tysiące haseł do wszystkich systemów firmy. A to i tak nie wszystko.

Pisanie codziennie o tym samym włamaniu powoli robiło się nudne, ale dane, które pojawiły się tej nocy, zasługują na osobny komentarz. Ponad setka plików, a każdym z nich wiele haseł do różnych systemów plus dziesiątki prywatnych kluczy i certyfikatów zostały właśnie opublikowane przez włamywaczy.

Hasła w plikach na dysku, czyli świetny pomysł

Gdzie trzeba trzymać hasła? Najlepiej w plikach XLS (lub TXT) na dysku swojego komputera. Tak przynajmniej musiała jeszcze do zeszłego tygodnia wyglądać polityka Sony Pictures. Jakie są tego skutki – możecie zobaczyć sami. Tym razem włamywacze opublikowali między innymi wybrane, „najciekawsze” pliki znalezione na dyskach pracowników Sony Pictures.

Przykładową zawartość pliku możecie zobaczyć na poniższym zrzucie ekranu:

Hasła do serwera FTP

Hasła do serwera FTP

Nie wszystkie hasła dotyczą wewnętrznych systemów:

Hasła do zewnętrznych serwisów

Hasła do zewnętrznych serwisów

Jak widać polityka haseł też nie była najlepsza. W zestawie znajdują się także pliki zawierające hasła do prywatnych kont pracowników. Jeśli jeszcze ich nie pozmieniali, to pewnie już jest za późno.

Pozostałe dane

Jako że nie kopie się leżącego, to już tylko wspomnimy, że w innych folderach znaleźć można dziesiątki certyfikatów, kluczy prywatnych (z hasłami zapisany otwartym tekstem w tym samym katalogu), budżetów, zestawień przychodów, planów firmy czy też chociażby szczegółowe zestawienie wydatków poniesionych na produkcję słynnego już filmu The Interview, który miał być rzekomą przyczyna ataku. Jest także kilka list serwerów, do których podobno włamali się atakujący, obejmująca kilka tysięcy maszyn.

Przykładowy folder z certyfikatami

Przykładowy folder z certyfikatami

Kiedy już się pośmiejecie (lub popłaczecie) nad treścią wycieku, sprawdźcie, jak hasła trzymają użytkownicy w Waszych firmach. Może jeszcze nie jest za późno…