索尼披露网络安全漏洞致员工数据泄露

Sony Discloses Cybersecurity Breach Exposing Employee Data is a Public briefing based on external evidence, participant context, and relationship signals.

图片来源：Rawpixel via Freepik 近日，索尼互动娱乐（Sony）证实了一起网络安全漏洞事件，影响了数千名现任和前任员工。由于这起事件与网络间谍惊悚片中的情节相似，因此引起了广泛关注。漏洞事件始末 索尼已主动通知约6,800名个人（包括员工及其家属），告知他们因MOVEit Transfer平台的一个零日漏洞被未经授权方利用而导致数据泄露。这一严重性为关键的SQL注入漏洞，编号为CVE-2023-34362，可导致远程代码执行，并被Clop勒索软件团体在大规模攻击中利用，影响了全球众多组织。入侵时间线值得注意。2023年5月28日，入侵发生。然而，索尼在三天后才从MOVEit供应商Progress Software处得知此事。直到6月初，索尼才检测到入侵，并于6月2日发现了未授权的下载。作为回应，公司迅速将该平台下线，并修复了漏洞。此外，索尼与外部网络安全专家合作展开调查，并立即通知了执法机构。影响与应对 索尼迅速强调，此次泄露仅限于该特定软件平台，并未扩散到公司内部的任何其他系统。尽管如此，美国境内6,791名个人的敏感信息仍遭到泄露。索尼仔细确定了泄露的细节，并在个人通知信中逐一列出。提交给缅因州总检察长办公室的样本中，这些信息被编辑过。为应对此次泄露，索尼通过Equifax提供信用监控和身份恢复服务。每位受影响的个人将收到一个唯一代码，该代码有效期至2024年2月29日，用于访问这些服务。一系列安全事件 此次泄露是困扰索尼的一系列网络安全事件中的最新一起。上个月，有黑客论坛指控索尼遭受泄露，导致其系统3.14 GB数据被盗。索尼随即对这些说法展开调查。泄露的数据集包含敏感信息，包括与SonarQube平台、证书、Creators Cloud、事件响应策略、用于生成许可证的设备模拟器等相关的详细信息。索尼在一份声明中确认了此次泄露，并透露该事件与日本的一台服务器有关。该服务器主要用于娱乐、技术和服务（ET&S）业务部门的内部测试。幸运的是，没有证据表明受影响的服务器上存储了客户或业务合作伙伴的数据。索尼的运营未报告受到任何不利影响。 另见: 英伟达在 Computex 举办首次韩国合作伙伴之夜.