Sony explica cómo hackearon PSN

  • Iniciador del tema Anonymous
  • Fecha de inicio
Sony explica cómo hackearon PlayStation Network

Encubrieron el ataque como una compra en el servicio.

Sigue conociéndose nueva información sobre el ataque a PlayStation Network, después de que Sony llevase a cabo ayer una rueda de prensa pidiendo disculpas por lo sucedido y anunciando que en los próximos días volverán los servicios online de la plataforma.

Sony ha explicado cómo se llevó a cabo el ataque contra su plataforma. El ataque a la base de datos de clientes se realizó desde un servidor de aplicaciones conectado con ella, y que está tras un servidor web y dos cortafuegos o firewalls. Según los responsables de la compañía, el modo en que se realizó el hackeo "es un técnica muy sofisticada".

Los autores del ataque lo encubrieron como una compra en la plataforma online de Sony, por lo que los sistemas de seguridad no detectaron nada raro, y tras pasar del servidor web, lograron explotar una vulnerabilidad del servidor de aplicaciones para instalar software que más tarde fue usado para acceder al servidor de la base de datos, protegido por un tercer firewall.

La vulnerabilidad del servidor de aplicaciones donde se instaló el software para acceder a la base de datos era desconocida por Sony, que ya se ha apresurado a crear un puesto de jefe de seguridad de la información para supervisar la seguridad de los datos de ahora en adelante, además de haber rehecho la seguridad de la plataforma PlayStation Network para evitar que esto vuelva a pasar.

La compañía ha mostrado un diagrama esquematizando cómo ha sido el ataque.




http://www.vandal.net/noticia/55869/son ... n-network/


Acojonante, una plataforma en la cual acceden millones de personas con sus cuentas y compras NO TENIA UN DEPARTAMENTO DE SEGURIDAD ESTRUCTURADO, ¿qué os parece?
 
Vaya un despropósito, o sea que si no tenían un jefe de Seguridad, obviamente no tenían un departamento claramente definido para la Seguridad de la Información.

Ni siquiera las medidas que han tomado con un sólo jefe de Seguridad puede dar seguridad, deben tener un plan de contingencia y no se puede delegar en un sólo responsable toda esa responsabilidad valga la redundancia; un Jefe de departamento de Seguridad es una persona y como todo ser humano puede estar expuesto a muchas cosas.

Estos de Sony con tal de no gastar dinero,...no aprenden, debe haber más de un responsable, y deben de rotar como tal en sus funciones y tareas para que la seguridad no este expuesta y comprometida, eso también es aplicable a los técnicos e ingenieros del departamento de Seguridad, e infraestructura, son las mínimas Mejores Prácticas (ITIL, entre otras,...) que deben asumir, y eso cuesta pasta que deben gastar y que es una inversión a corto plazo y con beneficios.

A mi un hecho y respuesta de Sony como ésta, si fuera usuario de PSN, no me dejarían nada tranquilo.

Si un gigante como Sony hace esto, que no harán otras compañías con menor peso a todos los niveles (financieras, TI, ISP, TSP, etc,)

O sea que con esto, ya podéis esperar otra como la que les ha sucedido, no tardando mucho, el tiempo dirá.
 
Arriba