Hackers roubaram dados pessoais de milhares de funcionários da Sony por meio de uma vulnerabilidade de dia zero

A Sony Interactive Entertainment (SIE) relatou um grande vazamento de dados que ocorreu devido a invasores que invadiram as redes de computadores da empresa usando uma vulnerabilidade de dia zero CVE-2023-34362 na plataforma MOVEit Transfer. A empresa notificou cerca de 6.800 pessoas, entre atuais e ex-funcionários e seus familiares, a esse respeito.

Fonte da imagem: Pixabay

O aviso afirma que o hack ocorreu em 28 de maio, três dias antes da Progress Software (um fornecedor do MOVEit) notificar a SIE sobre a vulnerabilidade, mas foi descoberta no início de junho. “Detectamos downloads não autorizados em 2 de junho de 2023, desativamos imediatamente a plataforma e resolvemos a vulnerabilidade”, disse a Sony Interactive Entertainment, observando que o hack foi limitado a uma plataforma de software específica e não afetou outros sistemas, e que a polícia foi notificada e foi lançada uma investigação sobre o incidente com o envolvimento de especialistas em segurança cibernética.

O aviso incentiva os afetados a aproveitarem os serviços de monitoramento de crédito e restauração de identidade por meio do Equifax, aos quais poderão acessar até 29 de fevereiro de 2024, usando seu código exclusivo.

No final do mês passado, surgiram relatos em fóruns de hackers sobre outro hack de sistemas Sony, que resultou no roubo de 3,14 GB. Os dados vazados, armazenados por pelo menos dois hackers separados, continham informações detalhadas sobre a plataforma SonarQube, certificados, Creators Cloud, políticas de resposta a incidentes, emulador de dispositivo para geração de licenças, etc.

A empresa confirmou o hack ao BleepingComputer.com, observando que, com a ajuda de especialistas externos, foi identificada atividade em um servidor localizado no Japão, que é usado para testes internos na indústria de entretenimento, tecnologia e serviços (ET&S).

A Sony desativou este servidor durante a investigação. Não há nenhuma indicação de que dados de clientes ou parceiros de negócios tenham sido armazenados no servidor ou que quaisquer outros sistemas da empresa tenham sido afetados. Também não houve consequências negativas observadas para a Sony.