Queda demostrado que la seguridad de este servicio nunca ha sido un punto fuerte, y esto vuelve a quedar en evidencia otra vez con un nuevo fallo de seguridad.
Un joven austriaco de 20 años ha sido el encargado de comprobar cómo se pueden obtener datos de los usuarios del servicio haciendo uso de un ataque de inyección de código SQL en la base de datos.
Según comenta Aria Akhavan, las consultas erróneas que se realizan a la base de datos no devuelven ningún tipo de mensaje de error, lo que quiere decir que de forma aleatoria se pueden realizar peticiones y todas aquellas que sean correcta devolverán un mensaje, siendo este el mismo para todas aquellas que sean correctas. Este tipo de ataque se conoce como ataque a ciegas por inyección SQL y gracias a él se pueden obtener los nombres de usuarios, las contraseñas y cualquier otro tipo de datos que se encuentre en la base de datos afectada. A pesar de que parece un ataque complicado (relativamente lo es) los ciberdelincuentes podrían recurrir a la utilización de diccionarios y aplicando un ataque de fuerza bruta lograr obtener finalmente los datos de los usuarios.
Lo más curioso de todo es que Playstation Network no es el único servicio o sitio web que está afectado por este problema de seguridad, asegurando que son muchos los servicios. Expertos en seguridad añaden que la dificultad y la cantidad de tiempo que se debe invertir en realizar este ataque hace que no posea mucho interés para los ciberdelincuentes, no descartando que en un momento puntual se pueda hacer uso de él.
Desde Playstation Network no han confirmado ni desmentido nada
El joven austriaco se puso en contacto con los responsables del servicio el pasado mes de octubre, sin embargo, aún no ha obtenido ningún tipo de respuesta ni el fallo de seguridad ha sido corregido. Si no quieren que suceda lo mismo sería muy recomendable que Sony pusiese una solución para este problema, que aunque complicado de explotar podría serlo y provocar un nuevo robo de datos que afectaría a una gran cantidad de usuarios. Teniendo en cuenta que no hay nada claro, no se sabe con certeza qué datos se encuentran afectados por el problema de seguridad que se ha detallado.
No hay comentarios:
Publicar un comentario