Aanvallers hebben naar eigen zeggen de gegevens van 1 miljoen Sony-klanten gestolen die zich op SonyPictures.com hadden geregistreerd, daarnaast zou er informatie van Sony BMG Nederland zijn buitgemaakt. De groep die zichzelf 'LulzSec' noemt zou persoonlijke informatie zoals wachtwoorden, e-mailadressen, thuisadressen, geboortedata en andere Sony opt-in gegevens van de accounts hebben gestolen. Ook zouden alle admingegevens van Sony Pictures zijn gecompromitteerd, alsmede 75.000 muziekcodes en 3,5 miljoen muziekbonnen.

LulzSec zegt dat het vanwege een tekort aan middelen niet alle gegevens heeft kunnen kopiëren, maar dat het wel exemplaren heeft gekopieerd om de authenticiteit te bewijzen. "In theorie hadden we alle informatie kunnen pakken, maar dat zou een aantal weken hebben geduurd."

Meesterhackers
De groep wil niet als "meesterhackers" overkomen, maar laten zien dat de servers van Sony Pictures via een eenvoudige SQL Injection-aanval konden worden overgenomen. "Eén van de oudste en meest voorkomende beveiligingslekken, zoals we nu zouden moeten weten. Waarom stel je zoveel vertrouwen in een bedrijf dat zichzelf voor zulke eenvoudige aanvallen blootstelt."

Daarnaast zouden de gegevens niet versleuteld zijn. "Sony bewaarde meer dan 1 miljoen wachtwoorden in platte tekst." Volgens de groep is dit schandelijk en zou Sony om de aanval hebben gevraagd.

Nederland
Daarnaast laat LulzSec weten dat ook de databases van Sony BMG België en Nederland zijn buitgemaakt. "Ook deze bevatte een gevarieerd assortiment aan Sony klant- en personeelsgegevens."

De website van LulzSec was op het moment van schrijven offline, maar de groep is ook via Twitter te volgen. Daar staat inmiddels ook een link naar een Torrent-bestand met een deel van de gestolen informatie.