Un joven austriaco de 20 años ha sido el encargado de
comprobar cómo se pueden obtener datos de los usuarios del servicio haciendo
uso de un ataque de inyección de código SQL en la base de datos.
Según comenta
Aria Akhavan, las consultas erróneas que se realizan a la base de datos no
devuelven ningún tipo de mensaje de error, lo que quiere decir que de forma
aleatoria se pueden realizar peticiones y todas aquellas que sean correcta
devolverán un mensaje, siendo este el mismo para todas aquellas que sean
correctas. Este tipo de ataque se conoce como ataque a ciegas por inyección SQL
y gracias a él se pueden obtener los nombres de usuarios, las contraseñas y
cualquier otro tipo de datos que se encuentre en la base de datos afectada. A
pesar de que parece un ataque complicado (relativamente lo es) los
ciberdelincuentes podrían recurrir a la utilización de diccionarios y aplicando
un ataque de fuerza bruta lograr obtener finalmente los datos de los usuarios.
Lo más curioso de todo es que Playstation Network no es
el único servicio o sitio web que está afectado por este problema de seguridad,
asegurando que son muchos los servicios. Expertos en seguridad añaden que la
dificultad y la cantidad de tiempo que se debe invertir en realizar este ataque
hace que no posea mucho interés para los ciberdelincuentes, no descartando que
en un momento puntual se pueda hacer uso de él.
Desde Playstation Network no han confirmado ni
desmentido nada
El joven austriaco se puso en contacto con los
responsables del servicio el pasado mes de octubre, sin embargo, aún no ha
obtenido ningún tipo de respuesta ni el fallo de seguridad ha sido corregido.
Fuente: Softpedia