SQL-Injection: Sicherheitslücke erlaubt Zugriff auf Sony-Kundendaten

Eine SQL-Injection-Lücke erlaubt den Zugriff auf Kundendaten des Playstation Networks. Sony wurde bereits vor zwei Wochen über die Sicherheitslücke informiert, sie wurde jedoch bisher nicht geschlossen. Es ist nicht der erste Vorfall im Playstation-Network.

30. Oktober 2014 um 10:31 Uhr / Hanno Böck

61 Kommentare News folgen (öffnet im neuen Fenster)

Beliebt bei Spielern und offenbar auch bei Hackern: das Playstation Network (Bild: Screenshot Golem.de) — Beliebt bei Spielern und offenbar auch bei Hackern: das Playstation Network Bild: Screenshot Golem.de

Ein Sicherheitsforscher hat auf der Webseite von Sony eine kritische SQL-Injection-Lücke gefunden. Mit der Sicherheitslücke lassen sich die Kundendaten von Teilnehmern des Playstation Networks auslesen.

Entdeckt wurde die Lücke von Aria Akhavan. Der IT-Sicherheitsexperte hatte Sony nach eigenen Angaben bereits vor zwei Wochen über die Existenz der Lücke informiert. Reagiert hat Sony bisher nicht. Die Lücke nutzt eine Funktion auf der Webseite des Supports von Sony, dort kann mittels eines manipulierten Parameters in einer URL eine Anfrage an den SQL-Datenbankserver von Sony abgeschickt werden. Die Ausgabe erhält ein potenzieller Angreifer direkt im Browser.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Mit Power Apps und Power Automate zu Power-Produktivität

zum Artikel

Karriere Ratgeber: Der Job-Scam-Tsunami: So fluten Betrüger 2025 den Arbeitsmarkt

zum Ratgeber

Seminar: Source Code Management und CI / CD: virtueller Drei-Tage-Workshop

zum Kurs

E-Learning: digitalize your business - starter course for digital transformation (e-learning in english)

zum Kurs

Weitere Details zur Ausnutzung der Lücke liegen Golem.de vor. Aufgrund der Schwere der Lücke und des damit möglichen Zugriffs auf zahlreiche Kundendaten haben wir uns entschieden, die Details nicht zu veröffentlichen. Wir haben Sony um eine Stellungnahme gebeten, wir haben jedoch bisher noch keine Antwort erhalten.

Sonys Playstation Network war zuletzt 2011 Opfer eines größeren Hackerangriffs. Damals wurden von 77 Millionen Nutzern die Zugangsdaten und persönliche Daten gestohlen . In der Folge hatten sich in zahlreichen Ländern Behörden und Politiker mit den Vorfällen befasst und von Sony einen besseren Schutz von Kundendaten gefordert. Auch im August dieses Jahres gab es einen Angriff auf das Playstation Network , es handelte sich aber nur um eine Distributed-Denial-of-Service-Attacke (DDoS).

SQL-Injection-Angriffe gehören zu den verbreitetsten und gefährlichsten Sicherheitslücken in Webanwendungen. Erst vor kurzem war eine gravierende SQL-Injection-Lücke im Content-Management-System Drupal bekanntgeworden, zahlreiche Webseiten wurden damit in den vergangenen Tagen gehackt.

SQL-Injection-Lücken treten immer dann auf, wenn eine Webanwendung Eingaben von Nutzern ungeprüft und ungefiltert in SQL-Befehle einfügt. Durch den konsequenten Einsatz von sogenannten Prepared Statements(öffnet im neuen Fenster) lassen sich SQL-Injection-Lücken vollständig verhindern. Gerade bei sicherheitskritischen Anwendungen ist der Einsatz von Prepared Statements daher dringend anzuraten.

Zur Startseite 61 Kommentare

Anzeige Hier geht es zur Playstation 5 Pro bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Relevante Themen