Sony Interactive Entertainment (Sony), mevcut ve eski çalışanları ile onların aile üyelerini, kişisel bilgilerin açığa çıkmasına neden olan bir siber güvenlik ihlali konusunda bilgilendirdi.
Şirket, yaklaşık 6.800 kişiye veri ihlali bildirimi göndererek, izinsiz girişin MOVEit Transfer platformundaki zero day (sıfırıncı gün) güvenlik açığından yararlanan yetkisiz bir tarafın ardından meydana geldiğini doğruladı.
CVE-2023-34362 olarak adlandırılan bu hata , uzaktan kod yürütülmesine yol açan, dünya çapında çok sayıda kuruluşu tehlikeye atan büyük ölçekli saldırılarda Clop fidye yazılımından yararlanan, kritik öneme sahip bir SQL enjeksiyon hatasıdır.
Clop fidye yazılımı çetesi, Haziran ayı sonlarında Sony Group’u kurban listesine ekledi. Ancak firma şu ana kadar kamuoyuna bir açıklama yapmadı.
Veri ihlali bildirimine göre, güvenlik ihlali 28 Mayıs’ta, Sony’nin Progress Software’den (MOVEit satıcısı) kusur hakkında bilgi almasından üç gün önce gerçekleşti, ancak Haziran başında keşfedildi.
Bildirimde “2 Haziran 2023’te yetkisiz indirmeleri keşfettik, platformu hemen çevrimdışına aldık ve güvenlik açığını giderdik” bilgisi veriliyor.
“Daha sonra harici siber güvenlik uzmanlarının yardımıyla bir soruşturma başlatıldı. Ayrıca emniyet güçlerinede bilgi verdik,” diyor Sony veri ihlali bildiriminde.
Sony, olayın belirli bir yazılım platformuyla sınırlı olduğunu ve diğer sistemleri etkilemediğini söyledi.
Yine de ABD’deki 6.791 kişiye ait hassas bilgilerin güvenliği ihlal edildi. Firma, ifşa edilen ayrıntıları tek tek belirledi ve bunları her bir mektupta listeledi ancak Maine Başsavcılığı’na sunulan bildirim örneğinde sansürlendi.
Bildirim alıcılarına, 29 Şubat 2024 tarihine kadar kendilerine özel kodları kullanarak erişebilecekleri Equifax üzerinden kredi izleme ve kimlik yenileme hizmetleri sunuluyor.
Sony’nin yeni veri ihlali
Geçtiğimiz ayın sonlarında, hack forumlarında Sony’nin yeniden ihlal edildiği ve şirketin sistemlerinden 3,14 GB verinin çalındığı yönündeki iddiaların ardından firma, iddiaları araştırdığını söyleyerek yanıt verdi.
En az iki ayrı hacker grubunun elinde bulunan sızdırılan veri kümesi, SonarQube platformu, sertifikalar, Creators Cloud, olay müdahale politikaları, lisans oluşturmaya yönelik bir cihaz emülatörü ve daha fazlasına ilişkin ayrıntıları içeriyordu.