Sony Interactive Entertainment (Sony) a informé ses employés actuels et anciens ainsi que les membres de leur famille d’une faille de cybersécurité ayant exposé des informations personnelles.
La société a envoyé une notification de violation de données à environ 6 800 personnes, confirmant que l’intrusion s’est produite après qu’une partie non autorisée a exploité une vulnérabilité zero-day dans la plateforme MOVEit Transfer.
Le jour zéro est CVE-2023-34362, une faille d’injection SQL de gravité critique qui conduit à l’exécution de code à distance, exploitée par le ransomware Clop dans des attaques à grande échelle qui ont compromis de nombreuses organisations à travers le monde.
Le gang du ransomware Clop a ajouté le groupe Sony à sa liste de victimes fin juin. Cependant, l’entreprise n’a pas encore fait de déclaration publique.
Selon la notification de violation de données, la compromission s’est produite le 28 mai, trois jours avant que Sony ne soit informé de la faille par Progress Software (le fournisseur de MOVEit), mais celle-ci a été découverte début juin.
« Le 2 juin 2023, [nous] avons découvert les téléchargements non autorisés, avons immédiatement mis la plate-forme hors ligne et corrigé la vulnérabilité », peut-on lire dans l’avis.
« Une enquête a alors été lancée avec le concours d’experts externes en cybersécurité. Nous avons également informé les forces de l’ordre », indique Sony dans la notification de violation de données.
Sony affirme que l’incident s’est limité à la plate-forme logicielle en question et n’a eu aucun impact sur aucun de ses autres systèmes.
Pourtant, des informations sensibles appartenant à 6 791 personnes aux États-Unis ont été compromises. L’entreprise a déterminé individuellement les détails exposés et les a répertoriés dans chaque lettre individuelle, mais ils sont censurés dans l’échantillon de notification soumis au bureau du procureur général du Maine.
Les destinataires des notifications se voient désormais proposer des services de surveillance du crédit et de restauration d’identité via Equifax, auxquels ils peuvent accéder en utilisant leur code unique jusqu’au 29 février 2024.
La violation la plus récente de Sony
À la fin du mois dernier, à la suite d’allégations sur des forums de piratage selon lesquelles Sony aurait été à nouveau victime d’une violation et que 3,14 Go de données auraient été volées dans les systèmes de l’entreprise, la société a répondu en déclarant qu’elle enquêtait sur ces allégations.
L’ensemble de données divulgué, détenu par au moins deux acteurs malveillants distincts, contenait des détails sur la plate-forme SonarQube, des certificats, Creators Cloud, des politiques de réponse aux incidents, un émulateur de périphérique pour générer des licences, etc.
Un porte-parole de Sony a partagé avec Breachtrace la déclaration ci-dessous, qui confirme une faille de sécurité limitée :
Sony a enquêté sur les récentes allégations publiques faisant état d’un incident de sécurité chez Sony. Nous travaillons avec des experts légistes tiers et avons identifié une activité sur un serveur unique situé au Japon utilisé pour les tests internes de l’activité Divertissement, Technologie et Services (ET&S).
Sony a mis ce serveur hors ligne pendant que l’enquête est en cours. Rien n’indique actuellement que les données des clients ou des partenaires commerciaux ont été stockées sur le serveur concerné ou que d’autres systèmes Sony ont été concernés. Il n’y a eu aucun impact négatif sur les opérations de Sony.
Cela confirme que Sony a subi deux failles de sécurité au cours des quatre derniers mois.