【大纪元2011年05月04日讯】 (大纪元记者沙莉编译报道)索尼(Sony)网络保安再现漏洞,继索尼 PlayStation Network(PSN)多达7,700万用户资料被黑客盗窃后,另一家子公司Sony Online Entertainment(SOE)亦中招,近2,500万用户个人资料被窃,迫使索尼2日紧急关闭SOE服务。
据《信息周刊》(InformationWeek)报导,索尼第二次遭到黑客入侵后,受到黑客侵犯的客户账户数目总计超过1亿。索尼公司暂停了所有索尼在线多人娱乐游戏,验证其安全性。
索尼周二(3日)透露,四月中旬有2450万客户账户被黑客入侵,这是消费电子产品巨头索尼遭遇的最新安全挫折。黑客侵入了索尼在线娱乐部的电脑系统。该部门因大型多人游戏而知名,其中包括无尽的任务II(EverQuest II)和克隆人战争冒险(Clone Wars Adventures)。
索尼在线娱乐部网站发出通知说,索尼已经暂时停止所有在线多人游戏,直至可以确认其安全性后才会重新开通。
在周二公布的一份声明中,索尼表示,“我们以前认为,索尼在线娱乐的客户数据并没有被黑客窃取,但在5月1日我们认为账户信息可能已经被窃取,我们会尽快通知您。”
窃取的信息可能包括客户的姓名、地址、电子邮件地址、性别、出生日期和电话号码,以及他们的登录名和哈希(Hash)函数加密过的密码。有些信用卡资料也被盗。
令人惊讶的是,索尼公司表示,这些数据存储在“2007年过时的数据库中,包含大约1万2700个非美国客户的信用卡或借记卡号码和到期日期,但没有信用卡安全码,另外可能被盗的还有约1万700个银行账户直接转账记录,涉及德国、奥地利、荷兰和西班牙的某些客户。”索尼公司表示,将尽快通知受影响客户。
安全专家对索尼连续透露遭到黑客入侵的消息表示惊讶。安全公司Sophos的高级安全顾问威斯尼乌斯基(Chester Wisniewski)在博客中问道,“你的网络上有多少处存储着其他‘丢失’的财务数据?”“你知道要到哪里去查询信息是否已被盗用吗?”
索尼公司披露最新被黑消息之际,它仍在调查上次其PlayStation网络和Qriocity服务被入侵事件,那次受影响的客户达7700万,已经在美国提起集体诉讼。
索尼公司周一表示,PlayStation网络和Qriocity被盗的信用卡号码没有特殊加密,但是也没有明文存储,而是使用了哈希函数加密。
Sophos公司的威斯尼乌斯基(Chester Wisniewski)指出,哈希函数加密不等于牢不可破的安全性。他说:“索尼公司虽然马上声明密码被哈希函数加密了,但没有透露使用的哈希算法,以及计算哈希函数时是否使用了‘salt’。”(salt是加密系统产生的一串随机字符,和需要加密的内容合并在一起被加密。)
今年早些时候,为了显示SHA1安全哈希算法并不够强大,德国安全研究人员托马斯‧罗斯(Thomas Roth)用2.10美元租用了亚马逊弹性计算云(EC2)Web服务破解了14个SHA1哈希值。
管理及技术咨询公司IP Architects的总裁彼荣提(John P. Pironti)说,最担心黑客将还原有效的客户名和密码,他们可以将这些信息规模性地用于别的网站。他说,“许多人对多个网站只使用一个密码。”另一个担心是,黑客会使用盗来的合法数据绕过垃圾邮件过滤器和安全防御措施,这些数据最终可能用到类似Waledac垃圾邮件僵尸网络(spam botnet)上。
