I godt over en uke har filmselskapet Sony Pictures slitt med ettervirkningene av et storstilt hacker-angrep som kan ha kommet fra Nord-Korea - eller kanskje ikke.
Mengden av data som ble stjålet er enorm. Uutgitte filmer, noen av dem med premiere først i mars neste år, ble spredt på fildelingsnettsteder. Personlig informasjon om skuespillere, noen av dem svært kjente, skal ha blitt gjort tilgjengelig.
Nå viser det seg også at dokumentene inneholder personnumre (altså de amerikanske Social Security-numre) til 47,000 tidligere ansatte og samarbeidspartnere til Sony. Blant disse er Sylvester Stallone, regissøren Judd Apatow og skuespillerinnen/komikeren Rebel Wilson. Dokumentene inneholder også informasjon om lønninger, adresser, diverse kontrakter og mye annet. Noen av de berørte skal ikke ha jobbet for Sony siden år 2000.
Poenget er ikke bare det at angrepet er såpass omfattende, men at mye tyder på at sikkerheten hos Sony er elendig.
Ifølge Buzzfeed er interndokumentene, fylt med privat informasjon, kalt for ekstremt lettforståelige ting som «YouTube login passwords.xlsx» eller «password lists.xls». Dokumentene skal være fulle av passord til sosiale medie-kontoer til diverse filmer, abonnementkontoer til nyhetstjenester som Bloomberg og dyre analysetjenester som ComScore.
Ifølge nettstedet Fusion.net er mange tidligere Sony-ansatte, som ikke ønsker å oppgi navn, langt fra overrasket. Kildene sier til nettstedet at «Sonys sikkerhetsteam er en vits», og at de hadde gjentatte ganger rapportert sikkerhetsbrister som ble ignorert. Det vises til eksempler der et av Sonys nettsteder hadde en konkurranse der de samlet inn personlig data om deltakere og la disse ut på et nettsted uten å kryptere dem, eller ansatte som ikke logget seg ut fra Sonys interne servere da de satt på en kafé.
Sony skal ha brukt tid på å vurdere sikkerhetstrusler, men fulgte ikke opp anbefalingene i etterkant, og det var aldri noe generell forståelse for hvor viktig sikkerhet var i selskapet, sier kildene.
Dette er langt fra første gangen Sony er i hardt vær på denne måten, det massive angrepet på spilltjenesten PSN i 2011 avslørte også en del svake sikkerhetsrutiner og dårlig kommunikasjon.