• IT-Karriere:
  • Services:

SQL-Injection: Sicherheitslücke erlaubt Zugriff auf Sony-Kundendaten

Eine SQL-Injection-Lücke erlaubt den Zugriff auf Kundendaten des Playstation Networks. Sony wurde bereits vor zwei Wochen über die Sicherheitslücke informiert, sie wurde jedoch bisher nicht geschlossen. Es ist nicht der erste Vorfall im Playstation-Network.

Artikel veröffentlicht am , Hanno Böck
Beliebt bei Spielern und offenbar auch bei Hackern: das Playstation Network
Beliebt bei Spielern und offenbar auch bei Hackern: das Playstation Network (Bild: Screenshot Golem.de)

Ein Sicherheitsforscher hat auf der Webseite von Sony eine kritische SQL-Injection-Lücke gefunden. Mit der Sicherheitslücke lassen sich die Kundendaten von Teilnehmern des Playstation Networks auslesen.

Stellenmarkt
  1. über duerenhoff GmbH, Raum Siegen
  2. BWI GmbH, deutschlandweit

Entdeckt wurde die Lücke von Aria Akhavan. Der IT-Sicherheitsexperte hatte Sony nach eigenen Angaben bereits vor zwei Wochen über die Existenz der Lücke informiert. Reagiert hat Sony bisher nicht. Die Lücke nutzt eine Funktion auf der Webseite des Supports von Sony, dort kann mittels eines manipulierten Parameters in einer URL eine Anfrage an den SQL-Datenbankserver von Sony abgeschickt werden. Die Ausgabe erhält ein potenzieller Angreifer direkt im Browser.

Weitere Details zur Ausnutzung der Lücke liegen Golem.de vor. Aufgrund der Schwere der Lücke und des damit möglichen Zugriffs auf zahlreiche Kundendaten haben wir uns entschieden, die Details nicht zu veröffentlichen. Wir haben Sony um eine Stellungnahme gebeten, wir haben jedoch bisher noch keine Antwort erhalten.

Sonys Playstation Network war zuletzt 2011 Opfer eines größeren Hackerangriffs. Damals wurden von 77 Millionen Nutzern die Zugangsdaten und persönliche Daten gestohlen. In der Folge hatten sich in zahlreichen Ländern Behörden und Politiker mit den Vorfällen befasst und von Sony einen besseren Schutz von Kundendaten gefordert. Auch im August dieses Jahres gab es einen Angriff auf das Playstation Network, es handelte sich aber nur um eine Distributed-Denial-of-Service-Attacke (DDoS).

SQL-Injection-Angriffe gehören zu den verbreitetsten und gefährlichsten Sicherheitslücken in Webanwendungen. Erst vor kurzem war eine gravierende SQL-Injection-Lücke im Content-Management-System Drupal bekanntgeworden, zahlreiche Webseiten wurden damit in den vergangenen Tagen gehackt.

SQL-Injection-Lücken treten immer dann auf, wenn eine Webanwendung Eingaben von Nutzern ungeprüft und ungefiltert in SQL-Befehle einfügt. Durch den konsequenten Einsatz von sogenannten Prepared Statements lassen sich SQL-Injection-Lücken vollständig verhindern. Gerade bei sicherheitskritischen Anwendungen ist der Einsatz von Prepared Statements daher dringend anzuraten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zu den Kommentaren springen
Meistgelesen
  1. Streaming
    Heuler aus den Untiefen von Amazon
  2. Gigafactory
    Brandenburger Tesla-Fabrik muss umgeplant werden
  3. Elektromobilität
    Der Brummi bekommt eine Brennstoffzelle
  4. Valorant
    Streamer verlassen Overwatch
  5. Hobbys fürs Homeoffice
    Der Fußboden ist Lava
Anzeige
Spiele-Angebote
  1. (-62%) 18,99€
  2. 48,99€
  3. 14,29€
  4. 25,99€
Kommentarübersicht
Re: Update für PSN wird ausgerollt
AriaAk 03. Nov 2014

Die Lücke hat nichts mit der Firmware deiner Playstation zu tun und kann darum auch nicht...

Die Verbeugung kommt in 3...2...1...
JackRussell 03. Nov 2014

Mittlerweile kann man bei deren Fahrlässigkeit nur noch mit dem Kopf schütteln. Aber...

Re: SQL Injection?
iKlikla 02. Nov 2014

Welche Daten betroffen sind kann man nicht genau sagen.. Sony könnte für jeden Bereich...

Re: Ernsthaft Sony...?
DNAofDeath 02. Nov 2014

Selten so einen Schwachsinn gelesen. Schonmal was von Pen-Testing gehört? Von...

Re: Daten gehören verschlüsselt in Datenbanken!
DNAofDeath 02. Nov 2014

Erzähl das nicht uns, erzähl das mal Sony XDDDDD

Folgen Sie uns
       
O2 Free Unlimited im Test

Wir haben die beiden in der Geschwindigkeit beschränkten Smartphone-Tarife von Telefónica getestet, die eine echte Datenflatrate anbieten. Selbst der kleine Tarif O2 Free Unlimited Basic ist für typische Smartphone-Aufgaben ausreichend.

O2 Free Unlimited im Test Video aufrufen
Disney+
Disney+: Surround-Ton nur auf drei Fire-TV-Modellen
Disney+
Surround-Ton nur auf drei Fire-TV-Modellen

Disney+ bietet auf den meisten Fire-TV-Modellen nur Stereoklang.
Von Ingo Pakalski

  1. Videostreaming Disney+ hat 50 Millionen Abonnenten weltweit
  2. Disney+ Die Simpsons erscheinen im Mai im korrekten Seitenverhältnis
  3. Disney+ im Nachtest Lücken im Sortiment und technische Probleme
Star Trek
Star Trek - Der Film: Immer Ärger mit Roddenberry
Star Trek - Der Film
Immer Ärger mit Roddenberry

Verworfene Drehbücher, unzufriedene Paramount-Chefs und ein zögerlicher Spock: Dass der erste Star-Trek-Film vor 40 Jahren schließlich doch in die Kinos kam, grenzt an ein Wunder. Dass er schön aussieht, noch mehr.
Von Peter Osteried

  1. Machine Learning Fan überarbeitet Star Trek Voyager in 4K
  2. Star Trek - Picard Hasenpizza mit Jean-Luc
  3. Star Trek Voyager Starke Frauen und schwache Gegner
Schenker
Schenker Via 14 im Test: Leipziger Langläufer-Laptop
Schenker Via 14 im Test
Leipziger Langläufer-Laptop

Dank 73-Wattstunden-Akku hält das 14-Zoll-Ultrabook von Schenker trotz fast komplett aufrüstbarer Hardware lange durch.
Ein Test von Marc Sauter

  1. XMG Neo 15 (E20) Schenker erhöht Akkukapazität um 50 Prozent
  2. XMG Apex 15 Schenker packt 16C-Ryzen in Notebook
  3. XMG Fusion 15 Schenkers Gaming-Laptop soll 10 Stunden durchhalten
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /