快讯

黑客袭击PSN 索尼或面临天价索赔

刘啸峰 2011-05-16 02:10:38

当索尼正试图完善自己的网络平台并希望其成为与苹果竞争的一个利器时,黑客来了。

索尼遭受当头一棒。不论你的准备有多充分,冷不防的一个意外,就让满心迎接新世界的索尼灰头土脸。

从2010年底开始,索尼着手完善自己的网络平台,在此基础上探讨是否可以走得更远。但现在有黑客攻击了索尼的网络平台,这就让索尼变得很尴尬。

5月4日,索尼中国就索尼PSN(PlayStation Network)平台遭受黑客攻击一事向《第一财经周刊》提供最新声明称,索尼电脑娱乐公司 (SCE)和索尼网络娱乐公司 (SNEI)将开始分阶段、分区域恢复PSN和 Qriocity(一个音乐在线平台)的相关服务,大部分游戏、音乐和视频服务都将重新上线。同时索尼还采取了一系列措施以确保整个网络的安全性。

但这显然不足以平息用户对平台的疑虑。在这次黑客袭击事件中,有7700万名使用PSN网络与Qriocity的客户资料被窃取。这里面包括了客户的生日、住址等个人资料,并且,其中1230万份个人账户中包含信用卡信息。紧接着,索尼发现黑客还入侵了一个制作在线游戏的部门,盗取了2460万名用户的信息,迄今为止总计有超过1亿的用户受到了影响。

这意味着索尼将可能面临三方面的索赔:一般个人信息泄露的赔偿、用户信用卡换卡赔偿,以及信用卡欺诈交易赔偿。其中换卡赔偿金额就可能达到上亿美元。

噩梦开始于4月19日,当Sony Network Entertainment America(索尼北美网络部门,下简称SNEA)的一名员工在接手3月PSN项目的时候发现,某些系统正在重启,但是他的工作计划中并没有这个内容。

随后, SNEA发布警告,有证据表明PSN网络已经遭到未经授权的入侵活动,并且PSN服务器中的一些数据在未经许可的情况下已经被转移。4月20日,索尼请来了外部的计算机取证事务所来调查这一事件。第二天,索尼请来了第二家计算机安全公司来协助调查。

4月23日晚上,两家公司确认入侵者使用了非常复杂的技术来获得未经授权的访问,以管理员身份隐藏了入侵者的身份,并升级了他们在服务器内的特权。但入侵者删除了服务器的日志文件,以掩盖他们的踪迹。

第二天,索尼公司表示已经意识到对手是非常棘手的黑客,索尼再次请来第三家外援来帮忙调查已经被窃取的数据的确切范围。4月25日,三家公司合力确认了已经被窃取的个人资料的规模,但是仍不能确认其中是否包括信用卡信息。直到26日,索尼公司发表声明称:个人信息甚至是信用卡数据已经失密。在这7700万份资料中,有1230万份个人账户中包含信用卡信息,其中有560万美国用户(包含已过期及仍在使用的信用卡数据)。

“用户有两种可能与索尼的PSN网络平台发生联系,”SCE北京代表处的一名发言人说,“上网更新购买的光盘,比如为游戏增加关卡与武器,或者直接在该平台上购买游戏。”前者如只是单纯的升级,用户并不需要填写信用卡资料,但两者都需要用户填写详细的个人信息,包括住址与生日。目前,SCE在中国没有游戏业务。

唯一的好消息是,索尼执行副总裁平井一夫表示,在PSN网络被攻陷之后,迄今几大重要信用卡公司都没有任何相关的欺诈性信用卡交易数量因此增加的报告。

但只要一天没有找到黑客,就很难知道他们到底会发动多大的伤害。索尼的新闻稿中称,“公司正在进行彻底周密的调查,与法律部门合作以追查并起诉非法入侵者”。但目前还没有什么实质性的收获。

这让刚刚走马上任的索尼执行副总裁平井一夫的日子变得很不好过。就在遭遇黑客入侵前不到一个月,平井一夫出任索尼执行副总裁。他被称为即将退休的CEO斯金格爵士的四个接班人里最有力的人选。

与其他竞争者不同,现年50岁的平井一夫是唯一没有技术工程师经验的高管。但他在2010至2011财年成功让连亏5年的索尼游戏业务盈利。由于他有在音乐娱乐公司工作的经历,这被认为与媒体出身的CEO斯金格背景相似,也最能互相理解。此次遭受攻击的音乐平台Qriocity正是平井一夫力推的项目,2010年4月起,其线上影音服务陆续登陆美国等国家,旨在与iTunes抗衡。

也就在被攻击之前不久的3月10日,索尼整合了旗下的电子消费产品与网络业务。相比以前将消费电子设备与网络产品服务分成两大事业部的架构,整合之举被外界视作其加快硬件、内容、软件和网络融合的标志,索尼希望用一个网络平台把所有业务都连接起来,并让用户可以像在App Store那样在线购买索尼的内容服务。新成立的消费产品及服务事业部就由平井一夫掌管。但还没等到他大干一场,麻烦就来了。

到目前为止,平井一夫的表现还算中规中矩。接下来,他至少要处理好几件事情,包括平复用户情绪、恢复用户数量、升级索尼安全防护等。当然对他来讲最大的利好是能找出黑客,这最能安抚索尼粉丝的情绪。

迄今索尼并没有收到客户的索赔。在华尔街执业的一位美国律师告诉《第一财经周刊》,因为没有明确的用户信用卡损失记录,在伤害没有产生前,向索尼索赔的起诉是不成立的。但如果用户要求更换信用卡,索尼是有理由为用户承担这笔换卡成本的。

据索尼游戏内部人士透露,索尼内部确实在商讨是否给客户承担换卡的费用。如果得以实施,据彭博财经估算,索尼需要为此支付上亿美元的成本。个人信息已经泄露这一事实也可能会让索尼面临索赔要求。可资参考的例子是,2004年,日本雅虎大约460万用户个人信息外泄,日本雅虎后来向每名用户派送500日元购物券以示歉意。

索尼此次处理事件的反应还算迅速。第一轮对用户的补偿措施已经出台,比如将让各地区用户享有PlayStation娱乐内容免费下载等(部分免费下载只能在30天内有效)。索尼中国称,此后还会有新的补偿措施相继颁布。这次补偿活动的代号为“Welcome Back”。

索尼还升级了安全防御能力。此前索尼声称自己使用的安全软件是最好的。但与苹果不同,索尼并没有开发自己的安全软件。

与大部分游戏公司一样,索尼内部也有黑名单,里面有最爱挑战索尼系统的几个黑客的名字,包括著名的逆向工程师Geo Hot。但此次入侵者在控制的一个服务器中植入了一个命名为“Anonymous(匿名者)”的文件,该文件中写道“We are Legion”(我们是一个团体)。

可以肯定的是,在此次事件后,所有的在线网络平台都会开始考虑如何加强安全防范。微软此前的方法是,与其防范黑客,不如悬赏欢迎他们对Kinect做出修改,比如某种破解。

{{news.title}}

{{news.author}} {{news.time}}