【大紀元2011年05月04日訊】 (大紀元記者沙莉編譯報道)索尼(Sony)網絡保安再現漏洞,繼索尼 PlayStation Network(PSN)多達7,700萬用戶資料被黑客盜竊後,另一家子公司Sony Online Entertainment(SOE)亦中招,近2,500萬用戶個人資料被竊,迫使索尼2日緊急關閉SOE服務。
據《信息週刊》(InformationWeek)報導,索尼第二次遭到黑客入侵後,受到黑客侵犯的客戶帳戶數目總計超過1億。索尼公司暫停了所有索尼在線多人娛樂遊戲,驗證其安全性。
索尼週二(3日)透露,四月中旬有2450萬客戶帳戶被黑客入侵,這是消費電子產品巨頭索尼遭遇的最新安全挫折。黑客侵入了索尼在線娛樂部的電腦系統。該部門因大型多人遊戲而知名,其中包括無盡的任務II(EverQuest II)和克隆人戰爭冒險(Clone Wars Adventures)。
索尼在線娛樂部網站發出通知說,索尼已經暫時停止所有在線多人遊戲,直至可以確認其安全性後才會重新開通。
在週二公佈的一份聲明中,索尼表示,「我們以前認為,索尼在線娛樂的客戶數據並沒有被黑客竊取,但在5月1日我們認為帳戶信息可能已經被竊取,我們會儘快通知您。」
竊取的信息可能包括客戶的姓名、地址、電子郵件地址、性別、出生日期和電話號碼,以及他們的登錄名和哈希(Hash)函數加密過的密碼。有些信用卡資料也被盜。
令人驚訝的是,索尼公司表示,這些數據存儲在「2007年過時的數據庫中,包含大約1萬2700個非美國客戶的信用卡或借記卡號碼和到期日期,但沒有信用卡安全碼,另外可能被盜的還有約1萬700個銀行帳戶直接轉帳記錄,涉及德國、奧地利、荷蘭和西班牙的某些客戶。」索尼公司表示,將儘快通知受影響客戶。
安全專家對索尼連續透露遭到黑客入侵的消息表示驚訝。安全公司Sophos的高級安全顧問威斯尼烏斯基(Chester Wisniewski)在博客中問道,「你的網絡上有多少處存儲著其他『丟失』的財務數據?」「你知道要到哪裡去查詢信息是否已被盜用嗎?」
索尼公司披露最新被黑消息之際,它仍在調查上次其PlayStation網絡和Qriocity服務被入侵事件,那次受影響的客戶達7700萬,已經在美國提起集體訴訟。
索尼公司週一表示,PlayStation網絡和Qriocity被盜的信用卡號碼沒有特殊加密,但是也沒有明文存儲,而是使用了哈希函數加密。
Sophos公司的威斯尼烏斯基(Chester Wisniewski)指出,哈希函數加密不等於牢不可破的安全性。他說:「索尼公司雖然馬上聲明密碼被哈希函數加密了,但沒有透露使用的哈希算法,以及計算哈希函數時是否使用了『salt』。」(salt是加密系統產生的一串隨機字符,和需要加密的內容合併在一起被加密。)
今年早些時候,為了顯示SHA1安全哈希算法並不夠強大,德國安全研究人員托馬斯‧羅斯(Thomas Roth)用2.10美元租用了亞馬遜彈性計算雲(EC2)Web服務破解了14個SHA1哈希值。
管理及技術諮詢公司IP Architects的總裁彼榮提(John P. Pironti)說,最擔心黑客將還原有效的客戶名和密碼,他們可以將這些信息規模性地用於別的網站。他說,「許多人對多個網站只使用一個密碼。」另一個擔心是,黑客會使用盜來的合法數據繞過垃圾郵件過濾器和安全防禦措施,這些數據最終可能用到類似Waledac垃圾郵件殭屍網絡(spam botnet)上。
