Sony Interactive Entertainment (Sony), mevcut ve eski çalışanları ile onların aile üyelerini, kişisel bilgilerin açığa çıkmasına neden olan bir siber güvenlik ihlali konusunda bilgilendirdi.
Şirket, yaklaşık 6.800 kişiye veri ihlali bildirimi göndererek, izinsiz girişin MOVEit Transfer platformundaki sıfır gün güvenlik açığından yararlanan yetkisiz bir tarafın ardından meydana geldiğini doğruladı.
Sıfır gün, CVE-2023-34362 olup, uzaktan kod yürütülmesine yol açan, dünya çapında çok sayıda kuruluşu tehlikeye atan büyük ölçekli saldırılarda Clop fidye yazılımından yararlanan, kritik öneme sahip bir SQL enjeksiyon hatasıdır.
Clop fidye yazılımı çetesi, Haziran ayı sonlarında Sony Group’u kurban listesine ekledi. Ancak firma şu ana kadar kamuoyuna bir açıklama yapmadı.
Veri ihlali bildirimine göre, güvenlik ihlali 28 Mayıs’ta, Sony’nin Progress Software’den (MOVEit satıcısı) kusur hakkında bilgi almasından üç gün önce gerçekleşti, ancak Haziran başında keşfedildi.
“2 Haziran 2023’te, [we] izinsiz indirmeleri keşfetti, platformu derhal çevrimdışına aldı ve güvenlik açığını giderdi,” uyarısını okuyor.
“Daha sonra harici siber güvenlik uzmanlarının yardımıyla bir soruşturma başlatıldı. Ayrıca kolluk kuvvetlerine de bilgi verdik,” diyor Sony veri ihlali bildiriminde.
Sony, olayın belirli bir yazılım platformuyla sınırlı olduğunu ve diğer sistemleri etkilemediğini söyledi.
Yine de ABD’de 6.791 kişiye ait hassas bilgiler ele geçirildi. Firma, ifşa edilen ayrıntıları tek tek belirledi ve bunları her bir mektupta listeledi ancak Maine Başsavcılığı’na sunulan bildirim örneğinde sansürlendi.
Bildirim alıcılarına, 29 Şubat 2024 tarihine kadar kendilerine özel kodları kullanarak erişebilecekleri Equifax üzerinden kredi izleme ve kimlik yenileme hizmetleri sunuluyor.
Sony’nin daha yeni ihlali
Geçtiğimiz ayın sonlarında, hack forumlarında Sony’nin yeniden ihlal edildiği ve şirketin sistemlerinden 3,14 GB verinin çalındığı yönündeki iddiaların ardından firma, iddiaları araştırdığını söyleyerek yanıt verdi.
En az iki ayrı tehdit aktörünün elinde bulunan sızdırılmış veri kümesi; SonarQube platformu, sertifikalar, Creators Cloud, olay müdahale politikaları, lisans oluşturmaya yönelik bir cihaz emülatörü ve daha fazlasına ilişkin ayrıntıları içeriyordu.
Bir Sony sözcüsü BleepingComputer ile sınırlı bir güvenlik ihlalini doğrulayan aşağıdaki açıklamayı paylaştı:
Sony, Sony’de meydana gelen bir güvenlik olayıyla ilgili son zamanlarda kamuya açık iddiaları araştırıyor. Üçüncü taraf adli tıp uzmanlarıyla çalışıyoruz ve Japonya’da bulunan ve Eğlence, Teknoloji ve Hizmetler (ET&S) iş koluna yönelik dahili testler için kullanılan tek bir sunucuda faaliyet tespit ettik.
Soruşturma devam ederken Sony bu sunucuyu çevrimdışına aldı. Şu anda müşteri veya iş ortağı verilerinin etkilenen sunucuda depolandığına veya başka herhangi bir Sony sisteminin etkilendiğine dair bir gösterge bulunmuyor. Sony’nin operasyonları üzerinde herhangi bir olumsuz etki yaşanmadı.
Bu, Sony’nin son dört ayda iki güvenlik ihlali yaşadığını doğruluyor.