Sony bị đánh cắp thông tin, hơn 7.000 người bị ảnh hưởng

Theo Bleeping Computer, Sony đã gửi thư thông báo về vụ vi phạm dữ liệu làm lộ thông tin cá nhân của 6.800 nhân viên của công ty. Công ty cũng đã mời họ xác nhận danh tính và khôi phục dịch vụ thông qua Equachus trước ngày 29 tháng 2 năm 2024.

Theo đó, Sony xác nhận rằng công ty đã bị tấn công dữ liệu nghiêm trọng vào 4 tháng trước. Dữ liệu của công ty bị vi phạm vào ngày 28 tháng 5. Tuy nhiên, phải đến ngày 2 tháng 6, Sony mới phát hiện sự cố bằng lỗ hổng zero-day trong nền tảng MOVEit Transfer.

Zero-day hay CVE-2023-34362 là lỗ hổng SQL có mức độ nghiêm trọng cao, cho phép tin tặc sửa đổi cơ sở dữ liệu để truy cập trái phép vào dữ liệu nhạy cảm như chi tiết thẻ tín dụng, thông tin người dùng cá nhân và mật khẩu.

Sony đã tiến hành một cuộc điều tra với sự trợ giúp của các chuyên gia an ninh mạng bên ngoài và thông báo cho cơ quan thực thi pháp luật. Theo Sony, sự cố không gây ảnh hưởng gì đến bất kỳ hệ thống nào khác của hãng ngoài phần mềm của nhà cung cấp MOVEit. Tuy nhiên, có tổng cộng 6,791 dữ liệu của các nhân viên đã và đang làm việc đều bị rò rỉ. 

Sony đã chịu hai vụ tấn công lớn nhất trong năm nay. Tháng trước, công ty đã bắt đầu điều tra các cáo buộc về một cuộc tấn công mạng sau khi hai nhóm hacker tuyên bố đã đánh cắp 3,14 GB dữ liệu của công ty. Một trong những nhóm này đã cố bán dữ liệu này trên web đen với giá 2,5 triệu USD.