Sony Interactive Entertainment hat aktuelle und ehemalige Mitarbeiter sowie deren Familienangehörige über einen Cybersecurity-Vorfall informiert, bei dem persönliche Daten offengelegt wurden.
Rund 6.800 Personen erhielten eine Benachrichtigung von Sony über das Datenleck. Dieses war aufgetreten, nachdem eine unbefugte Partei eine Zero-Day-Schwachstelle in der MOVEit Transfer-Plattform ausnutzte. Die Schwachstelle, bekannt als CVE-2023-34362, ist ein kritischer SQL-Injektionsfehler, der von der Clop-Ransomware in groß angelegten Angriffen ausgenutzt wurde.
Die Clop-Ransomware-Gruppe hatte Sony Ende Juni zu ihrer Opferliste hinzugefügt. Das Unternehmen hat jedoch erst jetzt eine öffentliche Erklärung abgegeben.
Sony gab an, dass der Einbruch am 28. Mai stattfand, aber erst Anfang Juni entdeckt wurde. „Am 2. Juni 2023 entdeckten [wir] die unbefugten Downloads, nahmen die Plattform sofort offline und beheben die Schwachstelle“, so die Mitteilung. Externe Cybersecurity-Experten wurden hinzugezogen und die Strafverfolgungsbehörden informiert.
Das Unternehmen betonte, dass der Vorfall nur die spezifische Software-Plattform betraf und keine Auswirkungen auf andere Systeme hatte. Dennoch wurden sensible Informationen von 6.791 Personen in den USA kompromittiert. Als Reaktion darauf bietet Sony nun Kreditüberwachungs- und Identitätswiederherstellungsdienste über Equifax an.
In jüngster Zeit gab es Gerüchte über ein weiteres Datenleck bei Sony. Dabei wurde behauptet, dass erneut Daten im Umfang von 3,14 GB aus den Systemen des Unternehmens gestohlen wurden. In einer Erklärung bestätigte Sony einen begrenzten Sicherheitsvorfall auf einem Server in Japan, der für interne Tests genutzt wurde. Allerdings gäbe es keine Anzeichen dafür, dass Kundendaten betroffen sind.
Zusammengefasst hat Sony in den letzten vier Monaten zwei Sicherheitsvorfälle erlebt.