Sony Pictures sloeg wachtwoorden onversleuteld op

Sony Pictures is onlangs doelwit geworden van een cyberaanval, waarbij een enorme hoeveelheid bedrijfsinformatie is gestolen, wachtwoorden op internet zijn verschenen en een aantal films zijn uitgelekt. Het bedrijf blijkt het de hackers echter ook niet moeilijk te hebben gemaakt. Zo zijn wachtwoorden van verschillende Sony-diensten onversleuteld opgeslagen, waardoor de aanvallers hier eenvoudig toegang toe hadden. Het vinden van deze documenten was ook geen probleem, aangezien wachtwoorden waren opgeslagen in bestanden met voor de hand liggende namen als ‘passwords.txt’. De wachtwoorden die het bedrijf gebruikte waren ook nog eens ronduit zwak te noemen. Een wijze les voor andere bedrijven!

Dit meldt Buzzfeed. De website is in de data gedoken die de aanvallers van Sony deze week online hebben gepubliceerd. De datadump bevat onder andere een map genaamd ‘Passwords’, waarin 139 Word-documenten, Excel-spreadsheets, ZIP-bestanden en PDF-bestanden staan met duizenden wachtwoorden voor interne computers, social media accounts en accounts bij webdiensten van Sony Pictures.

Zwakke wachtwoorden
De meeste bestanden zijn voorzien van voor de hand liggen bestandsnamen waarin het woord ‘password’ voorkomt. De hackers konden dan ook zonder problemen de wachtwoorden uit de grote hoeveelheid bedrijfsdata vissen die zij hebben gestolen. De bestanden met wachtwoorden waren daarnaast ook nog eens onversleuteld opgeslagen en dus op geen enkele wijze beveiligd. De aanvallers konden dus direct met de wachtwoorden aan de haal.

De medewerkers van de filmstudio blijken daarnaast bij het kiezen van wachtwoorden weinig aandacht te hebben besteed aan beveiliging. De wachtwoorden zijn zeer zwak. Zo bestaan veel wachtwoorden uit voor de hand liggende woorden en zijn de wachtwoorden niet alfanumeriek (een combinatie van letters en cijfers). Dit maakt het voor aanvallers eenvoudig de wachtwoorden te kraken.

Noord-Korea
Onlangs ging het gerucht dat Noord-Korea achter de cyberaanval op Sony Pictures zou zitten. De filmstudio werkt namelijk aan een komedie over een moordplot gericht op de Noord-Koreaanse leider Kim Jong-un. Zowel Sony als een Noord-Koreaanse diplomaat ontkent echter dat het land achter de cyberaanval zit.

Bedrijven kunnen uit de cyberaanval op Sony Pictures lessen trekken. Door weinig aandacht te besteden aan beveiliging maken bedrijven voor hackers het onnodig makkelijk om gevoelige informatie en wachtwoorden te bemachtigen. Door wachtwoorden en bedrijfsgeheimen alleen op te slaan in versleutelde bestanden wordt het voor aanvallers bijvoorbeeld een stuk moeilijker gestolen data in te kijken. Het is daarnaast nooit verstandig de locatie van gevoelige informatie aan een eventuele aanvaller aan te wijzen. Noem een document met geheime informatie dus nooit ‘bedrijfsgeheim’, maar geef deze juist een onopvallende naam. Het is immers nergens voor nodig een hacker te helpen met bedrijfsdata aan de haal te gaan.