ツイッターで、SKFU氏がPSNSSSで利用していた脆弱性にソニーが気が付いたとつぶやいていました。
PSNSSSはPSN上にあるストアに存在するデータを検索できるユーティリティで、SKFU氏が開発していたものの一般には公開されていませんでした。
ここの所SKFU氏はPSNSSSで得た情報を公開したりしていましたが、最初にそれを公にしたのは5月2日でした。
SKFU氏は、本来ならアクセスできないはずのネットワークにアクセスできてしまった理由を「脆弱性」と述べ、ソニーがその対策に一週間かけたことを次のように報告しています。
http://twitter.com/SKFU_PS3/status/332245908030910464
SONY found the vulnerability PSNSSS used haha :D Took them 1 week – good to know since this was only a test run to get to the real target :)
ソニーはPSNSSSで使った脆弱性に気が付いたねw 1週間もかかってたよ。今回のはあくまでも本来の目的のためのテストなんだけどね。
PSNSSSストアに存在するコンテンツの調査のためかと思っていましたが、本当の目的は他にあるようです。
また、SKFU氏はブログでソニーに対してかなり挑戦的なコメントを掲載しています。
Congratulations for finding the ridiculous mistake and fixing it :) It took you guys over 1 week and probably external consultation to solve this problem. The question is why did it take so long and how was it even possible to miss this important step of security which any skiddy can setup easily?
アホみたいなミスを発見できて修正したことにおめでとうと言っておくよ。多分修正を外注したから一週間もかかったんだよね。分からないのは、何故修正にそんなに時間がかかったのかと、大事なセキュリティなのに見逃して誰でも簡単にアクセスできちゃう程度にしちゃったのかですね。
I don’t blame you since I know how large your network is, but if it takes one guy hours and one damn huge company days to find such a vulnerability, something is wrong don’t cha think so?
ネットワークがデカイから大変なのは分かるよ。でも一人で数時間程度チャチャっとやっちゃえば終わるでしょ。超巨大企業が脆弱性見つけるのに何日もかかるのって、何か間違ってると思うのはボクだけ?
Sadly I have to tell you that it was part of the plan, simply to check your resources and capabilities. Sorry, had to know how much time I’d possibly have to grab the data from the really interesting sources :) We both know that this part of the network won’t be used for long anymore. Therefor I will switch over to the new target now and leave you a well-intentioned advice:
申し訳ないけど、今回のは計画のごく一部なんだよね。一同ソフトやハードを念入りにチェックすることをお勧めするよ。ボクが君達からデータを入手するのにかかった時間を調べておくべきだね。君達だってそうだろけどボクだってあのネットワークはもう使わないよ。だから今後は新しいターゲットにスイッチするから、善意でアドバイスを送るよ。
Do not outsource all your data storages externally, most of them are even weaker than your own spaces.
データ保存は外注に丸投げしないこと。内部にあるよりはるかに脆弱だよ。
「本来の目的」「新しいターゲット」が何を指すのか不明ですが、ネットワーク系に強いSKFU氏ですのでやはりネットワークないしは通信に関わる部分の何かを狙っているのだと思います。