Sony Interactive Entertainment (Sony), mevcut ve eski çalışanları ile aile üyelerini, kişisel bilgileri açığa çıkaran bir siber güvenlik ihlali konusunda bilgilendirdi. Şirket, veri ihlali bildirimini yaklaşık 6.800 kişiye göndererek, veri hırsızlığının MOVEit Transfer platformundaki sıfırıncı gün açığı kullanılarak gerçekleştiğini doğruladı.
İlgili sıfırıncı gün açığı CVE-2023-34362 olarak geçiyor ve uzaktan kod yürütülmesine yol açan ve Clop fidye yazılımı tarafından dünya çapında çok sayıda kuruluşun güvenliğini tehlikeye atan büyük ölçekli saldırılarda kullanılan kritik önemde bir SQL enjeksiyon hatası. Clop fidye yazılımı çetesi, bu sıfırıncı gün açığını kullanarak pek çok firmaya başarılı saldırılar düzenlediklerini açıklamış, Haziran ayı sonunda Sony Group’u da kurbanları listesine eklemişti. Sony tarafı ise şimdiye dek konu hakkında sessizliğini korumuş ve sadece bir soruşturma yürütüldüğünü bildirmişti.
Sony tarafından yapılan veri ihlali bildirimine göre, güvenlik açığı 28 Mayıs’ta, yani Sony’nin Progress Software’den (MOVEit tedarikçisi) açığı öğrenmesinden üç gün önce meydana geldi. Bununla birlikte firma güvenlik açığını ancak 2 Haziran’da tespit edebildi. Mevcut personel ve eski çalışanlara iletilen bildiride “2 Haziran 2023’te izinsiz indirmeleri fark ettik, platformu hemen çevrimdışı duruma getirdik ve güvenlik açığını giderdik. Daha sonra harici siber güvenlik uzmanlarının yardımıyla bir soruşturma başlatıldı. Ayrıca kolluk kuvvetlerine de haber verdik,” denilmekte.
Sony, olayın söz konusu yazılım platformuyla sınırlı olduğunu ve diğer sistemlerini etkilemediğini söylüyor. Ancak yine de ABD’de 6.791 kişiye ait hassas ve kişisel bilgilerin tehlikeye girdiğini doğruluyor. Diğer ülkelerdeki çalışanlar hakkında henüz bir açıklama yapılmamış durumda. Firma açığa çıkan bilgileri tek tek tespit ederek her bir mektupta listeledi ancak ABD Maine Başsavcılığına gönderilen bildirim örneğinde bu bilgiler sansürlendi. Bildirim alan tüm eski ve mevcut Sony personeline, Equifax aracılığıyla 29 Şubat 2024 tarihine kadar kendilerine özel kodlarını kullanarak erişebilecekleri kredi izleme ve kimlik restorasyon hizmetleri sunulacak.
Geçtiğimiz ayın sonlarında, bilgisayar korsanlığı forumlarında Sony’nin yeniden ihlal edildiği ve şirketin sistemlerinden 3,14 GB veri çalındığı iddialarının ardından, firma iddiaları araştırdığını söyleyerek yanıt vermişti. Dolayısıyla Sony 4 ay içinde en az iki defa saldırı almış ve veri çaldırmış gibi görünüyor.
