Dat de servers van Sony Pictures Entertainment zijn gekraakt door de Vredeswachters van, naar algemeen wordt aangenomen, de Noord-Koreaanse leider Kim Jong-un blijkt weinig verrassend. Het beveiligingsbesef bij het bedrijf was niet erg hoog, zo meldt het Amerikaanse nieuwsstation ABC News. Ondertussen krijgen de vredeskrakers, zo lijkt het, wel hun zin. Het lijkt er op of de hele kraak was opgezet om de uitzending van de voor Kim kennelijk pijnlijke film the Interview te voorkomen. In de VS heeft Sony de vertoning stopgezet, niet in de laatste plaats vanwege de angst van de bioscoopbedrijven om slachtoffer van acties te worden (welke dan ook). Het lijkt er op dat de VS zich laten ringeloren door handlangers van een klein, absurd geregeerd land.
Het leek bij Sony PE nergens op, de beveiliging. De baas van het bedrijf kreeg regelmatig via onbeveiligde berichten zijn wachtwoorden toegestuurd voor bankrekeningen, en andere gevoelige zaken, zo bleek uit het doorspitten van de 32 000 gestolen en vrijgegeven e-berichten. Nog steeds is niet duidelijk hoe de krakers zijn binnengekomen en hoe ze zulke grote hoeveelheden gegevens hebben kunnen stelen of wie er achter de diefstal zit(ten). Onderzoekers van de FBI lijken het nog steeds op Noord-Korea te houden, ondanks de heftige ontkenningen van dat land. De bekendmaking van de FBI kwam kort na het bekend worden van de annulering van de vertoning van de door de krakers gewraakte film the Interview, waarin de Noord-Koreaanse satraap Kim Jong-un wordt vermoord. De van Sony gestolen informatie wijst op een, vriendelijk gezegd, onderkoelde omgang van de medewerkers van dat bedrijf met de digitale beveiliging en gevoelige informatie. Er werden wachtwoorden verstuurd via e-berichten en gevoelig materiaal zoals loonlijsten, strategieplannen of medische informatie werd niet versleuteld. Volgens beveiligingsdeskundigen is dat overigens niet uitzonderlijk in bedrijven. “De meeste mensen liegen die zeggen dat niet te doen “, zegt Jon Callas van Silent Circle Inc.
Sony-baas Michael Lynton kreeg regelmatig wachtwoorden toegestuurd van zijn assistent David Diamond. Kennelijk werd Diamond door zijn baas (plus familie) zonder meer vertrouwd. Er waren berichten bij die 32 000 waarin paspoortkopieën waren bijgevoegd, rijbewijzen of bankverklaringen. In een e-mail van oktober klaagt de financiële man David Hendler bij Lynton over allerlei technische mankementen en over de onervarenheid van de technische ondersteuning. Hij vond het ook fout dat e-berichten zo lang moesten worden bewaard.
“Slordig, erg slordig”, zegt ex-kraker Kevin Mitnick die na vijf jaar cel Mitnick Security Consulting LLC begon, “maar andere topmensen doen het waarschijnlijk ook.” Er bestaan systemen voor het beheer van wachtwoorden, waarbij versleuteling gebruikt wordt. “Het is vrij normaal dat bazen en hun assistenten e-mail gebruiken om vertrouwelijke informatie te delen. Ze denken dat dat veilig is.” Zo werd het de krakers wel erg makkelijk gemaakt. Ze hoefden alleen maar naar ‘wachtwoord’ te zoeken in al die gestolen berichten.
Bron: ABC News