ביליתי את הימים האחרונים בבירורכמעט 40GB של נתוניםנפרץ והודלף ממערכות המחשב הפנימיות של Sony Pictures Entertainment (SPE). ההקבוצה האחראית לפריצה, שמכנה את עצמה שומרי השלום (GOP), טוענת שיש עוד לבוא.

הרציונל לפריצה עדיין לא ברור;צפון קוריאה חשודהואתה-FBI מעורב באופן פעיל.

כשאנחנו ממשיכים לסקר את המקרה הזה, אני חושב שחשוב להעמיד בפרספקטיבה עד כמה המתקפה הזו הרת אסון.

זו לא הגזמה לומר שזו כנראה הפריצה הארגונית הגרועה ביותר בהיסטוריה. כפי שכתבתי בעבר, כל אדם ב-SPE צריך לפעול מתוך הבנה שכל פיסת נתונים המאוחסנת ברשת הפנימית של החברה נפגעה. הַכֹּל.

אחד המאבקים עם הסיפור הזה הוא הניסיון למסגר את האופי של כמה נפרץ בהקשר שניתן לקשר. קל להבין את העלות שלסרטים שהודלפועבור סטודיו, אבל המידע בתוך המסמכים הוא הרבה יותר מזה.

סוני לא איבדה רק סיסמאות; הוא חשף לעולם את כל אסטרטגיית הסיסמה (הנוראה) שלו. סכומי דולרים מדויקים במה שהיה פעם חוזים חסויים ידועים כיום לכולם. לאירועים מביכים בתיקי עובדים שאולי נשכחו יש כעת חוכמה חדשה - ופומבית - לחיים.

הנה רק חלק מפיסות המידע הכי פשרניות שראינו או למדנו מהדליפה.

1. סוני תצטרך לשנות את כל הסיסמאות

חלק מהמידע שדלף ביום רביעי כלל אוצר אמיתי של מסדי נתונים של סיסמאות, אישורי אבטחה, כתובות MAC לתחנות עבודה ושרתים ושמות המשתמש של כל אדם עםSUDOגִישָׁה. זה גם כלל קובץ סיסמה על קובץ סיסמה עבור כמעט כל מערכת בתוך מערכת האקולוגית של SPE.

אנו יודעים שסוני עובדת עם חברת האבטחה FireEye כדי להתמודד עם הנשורת מההתקפה, אך אנו מקווים שהחברה מודעת לכך שבשלב זה, יש לשנות כל סיסמה, בכל מקום.

בחלק מהמסמכים, חלק ממערכות אבטחת הבניינים של סוני מצויות גם במלאי.

ההשלכות הללו של המתקפה הזו יהדהדו במשך חודשים - כנראה שנים - כי נראה שלמעשה כל היבט של המערכות הפנימיות של סוני נפגע.

2. סיינפלד עדיין עושה לסוני המון כסף

זרוע הטלוויזיה של SPE מרוויחה הרבה מהכסף שלה מעסקאות סינדיקציה לחברות קשורות מקומיות.

אחת התוכניות הגדולות בקטלוג האחורי העצום של סוני היא סיינפלד. עבור תוכנית על כלום, היא עדיין ממשיכה למשוך כסף גדול יותר מ-16 שנים לאחר שיצאה מהאוויר.

[img src="https://admin.mashable.com/wp-content/uploads/2014/12/Seinfeld-money.png" caption="סה"כ תשלומי הסינדיקציה המקומיים ש"סיינפלד" מרוויחים בין ספטמבר 2014 לספטמבר. 2017." קרדיט="" ]

על פי מסמכים שסקרה Mashable, עסקת הסינדיקציה הנוכחית של סוני לשלוש שנים עבור למעלה מ-100 שותפים בארה"ב תניב לחברה 18.5 מיליון דולר. ניו יורק משלמת הכי הרבה עבור שידורים חוזרים של סיינפלד, כאשר WPIX משלמת 5.46 מיליון דולר עבור העסקה הנוכחית לשלוש שנים.

זכור, זה מיועד רק לשותפים מקומיים -- זה לא כולל את העסקאות שיש לסוני עם TBS עבור סיינפלד.

3. סת' רוגן וג'יימס פרנקו קיבלו משכורת ראויה מהראיון

שני השחקנים קיבלו שכר של 6.5 מיליון דולר עבור הראיון, הקומדיה הקרובה על עיתונאים שקיבלו הוראה על ידי ה-CIA להתנקש בחייו של קים ג'ונג און. רוגן קיבל עמלות נוספות עבור עבודתו על התסריט.

הסרט, שייפתח בבתי הקולנוע ב-25 בדצמבר, נחשב בעיני חלקם במרכז ההתקפות. התיאוריה היא שהצפון קוריאנים (או האקטיביסטים שמזדהים איתם) אינם מרוצים מהסרט ופרצו לסוני כדי להגיב.

[img src="https://admin.mashable.com/wp-content/uploads/2014/12/interview-budget-franco.png" caption="משכורות שחקנים מהסרט, "הראיון"" credit=" "]

עדיין לא ברור אם צפון קוריאה מעורבת בפריצה בצורה כלשהי, אבל נראה יותר סביר שהסרט קשור לפריצות.

התקציב המלא של הסרט, שעומד על 44 מיליון דולר עבור עלויות מעל ומתחת לקו, נכלל במטמון שני של קבצים ששוחררו לציבור ביום רביעי. זה היה בתוך תיקייה שכותרתה "סיסמאות", מה שמרמז שהוא הונח שם במיוחד כדי להדלוף.

נראה שרוב הנתונים שקבוצת ה-GOP פרסמה הם בפורמט ההיררכי המקורי שלו, אבל חלק מהמידע שפורסם ביום רביעי, כולל מלאי של שרת מחשבים ותחנות עבודה, כמו גם סיסמאות ותקציב הראיון, שוחררו באופן שמרמז שזה היה אספו יחד בכוונה.

4. בכיר יצא לטיולים רומנטיים עם כפוף בפרוטה של ​​החברה... ולא פוטר

מספר מסמכי משאבי אנוש פרטיים נכללו בהדלפה, כולל תיקייה שכותרתה "בעיות עובדים".

זה כלל מכתבי משמעת, הסכמי שיפור ביצועים והודעות סיום.

מכתב לעובד אחד ציין כי העובד "הפר את מדיניות התקשורת האלקטרונית של החברה על ידי שליחת דואר אלקטרוני מפורש לעובדי SPE אחרים". לעובד, שצוין כי הוא "בתפקיד מנהיגותי", נאמר כי מדובר בעובד מוערך אך כי "אם אירוע מסוג זה יקרה שוב, אתה עלול להיות כפוף לדין משמעתי נוסף עד וכולל סיום עבודה".

בנוסף, סגן נשיא בכיר בצד העסקי של SPE קיבל משמעת ביוני 2012 על ניהול מערכת יחסים רומנטית עם כפוף וביצוע נסיעות עסקים עם אותו כפוף:

5. תסריט הפיילוט ל-Battle Creek של וינס גיליגן הוא ציבורי

מספר תסריטי פיילוט לעונת הטלוויזיה של 2014 נכללו בהדלפות, אבל המפורסם ביותר היה לדרמה של וינס גיליגן/דיוויד שורנחל קרב.

CBS הודיעה שהיא אספה את Battle Creek, שמקורה בוינס גיליגן של Breaking Bad ו-David Shore של House במוקדמות מאי. בתוכנית מככבים ג'וש דוהאמל ודין וינטרס. הוא טרם הוקרן בבכורה, אם כי CBS אכן התחייבה לאיסוף של 13 פרקים.

6. יו"ר Sony Pictures איימי פסקל מרוויח 12 מיליון דולר בשנה

כמפורט לעומק מאתקווין רוז בפיוז'ן, אלפי משכורות של עובדי Sony Pictures שוחררו.

הדיווח של רוז מצביע על כך שאולי יש פערי שכר מגדריים במחלקות מסוימות (כאשר נשים מרוויחות פחות מגברים באותה התואר), אך בהתבסס על החקירה שלנו על המסמכים הללו, אנחנו לא בטוחים שנוכל להגיע לאותה מסקנה.

זה חלקית בגלל שכמו רוב החברות הגדולות, לסוני יש כמה קטגוריות שונות של פיצויים, מה שמקשה על השוואות ישירות בלי הרבה זמן ללמוד את המסמכים.

כדוגמה, רוז מביא מסמך אחד שמראה כי שכרו של יו"ר סוני פיקטורס, איימי פסקל, הוא 3 מיליון דולר. זה אולי משכורת הבסיס שלה, אבל מסמכים אחרים מראים שהשכר ברוטו שלה בעצם קרוב יותר ל-12 מיליון דולר בשנה.

יתרה מכך, סוני מדרגת עובדים בקטגוריות שכר שונות ויש לה טווחי תגמול לאותן קבוצות ספציפיות. בתקופה שהיינו צריכים לעיין במסמכים, לא נראה מובן מאליו שנשים באותה קטגוריית עובדים כמו עמיתים גברים מרוויחות משכורות שונות בעליל.

עם זאת, נראה שהמסמכים מצביעים על כך שבדומה לתעשיית הטכנולוגיה, לסוני יש פחות נשים ומיעוטים בתפקידי מנהיגות גבוהים.

7. אבטחת המידע בתוך סוני הייתה זוועה

אמרנו את זה בעבר, אבל כדאי לחזור על זה: המתקפה הזו הוחמרה משמעותית בגלל פרוטוקולי האבטחה הגרועים שקיימים על ידי כמעט כל רמה של עובדים בסוני.

גבעת קשמיר בפיוז'ןשוחח עם עובדי סוני לשעבר שהעידו על האופי הירוד של infosec בתוך סוני.

בסגל החברה יש רק 11 עובדים המוטלים על אבטחת מידע (מתוך 7,000 עובדים בסך הכל), לא סופרים קבלנים חיצוניים שאולי לא ניתן לטפל בהם בקלות.

היל מצא אראיון 2007 במגזין CIOעם ראש האבטחה של סוני, ג'ייסון ספאלטרו. ספאלטרו - שעדיין מנהל אבטחת מידע עבור סוני - מתפאר במדיניות שלו של תאימות "מספיק טוב". למעשה, ספאלטרו הצליחה לשכנע מבקר לא לרשום את הסיסמאות העלובות מעובדי סוני כהפרה של Sarbanes-Oxley.

כתוצאה מכך, בשנת 2014, משתמשים עדיין יכלו להשתמש בסיסמאות כגון "skateboard94" עבור גישה ל-Outlook ו-Novel.

ההיבט המחריד ביותר בהסתכלות על המסמכים שדלפו הוא לא רק רוחב היריעה שלו, אלא כמה מהם נגיש ללא כל הצפנה או הגנה באמצעות סיסמה. הוול סטריט ג'ורנל אף דיווח ביום חמישי בערב כי 47,000 מספרי תעודת זהות, כולל אלה של שחקנים מפורסמים, זמינים כעת לציבור. בנוסף, דפי בנק, טפסי מס, מידע HIPAA ו-401K -- שלא לדבר על המסמכים העסקיים הרבים והרבים -- כולם יכולים לראות כל אחד עם עותק של חבילת משרד מודרנית או עורך טקסט.