自從PSN於4月中旬被駭客入侵並盜走用戶資料以來,玩家和用戶的不滿逐漸累積,甚至驚動了美國的眾議院。Sony除了提交一份報告書以澄清眾議院的疑慮外,還宣布PSN即將回復正常運作的消息。我們就來看看,Sony葫蘆裡賣什麼膏藥。
Sony拒絕出席眾議院的公聽會
Sony的PSN駭客事件發生以來,除了讓自家的股票慘跌以外,還讓許多的玩家感到困擾和憤怒。美國的眾議院認為這件事相當嚴重,便要求Sony於5月4日出席它們的公聽會,針對PSN的事件進行澄清和說明。Sony以「目前還在調查中」的理由拒絕出席,取而代之的是一份以SCEA的執行長,平井一夫名義所整理的8頁報告書。
報告書的重點彙整
這份報告書扣除簽名的1頁和概要說明的2頁以外,剩餘5頁的內容為它們整理的13項問答。內容經過整理之後,大概如下所示:
1. 系統遭受入侵的時間
美國時間4月19日,美國新力娛樂網(Sony Network Entertainment America)的管理團隊發現伺服器異常後,便開始調閱管理記錄檔並進行評估。4月20日,發現非法入侵的證據,並注意到不正常的資料傳輸紀錄。隨後立刻切斷PSN系統進行維修檢測。
2. 何時察覺遭受入侵?
(同上)
3. 通知當局的時間
4月22日,SCEA的法務部門通知了FBI,告訴它們「無法掌握入侵的程度和範圍」,並敲定雙方會談的時間為4月27日。到了4月26日,Sony正式宣布PSN遭受入侵,而且用戶的資料可能已經外流。
4. 為什麼這麼慢才通知消費者?
PSN網路是由130個伺服器,50種軟體,以及7700萬的用戶所組成的複雜系統。從4月19日發現可疑跡象之後,它們組成了多人小組進行調查。隔日,發現受到入侵的跡象,同時判定其他伺服器也可能受到影響。當日隨即宣布PSN下線整修,並延請外界的資安機構介入調查。
4月21日,第二家資安機構加入調查行列。
4月23日晚上,調查結果顯示曾經有技巧洗練的駭客入侵系統,瞞過Sony的監控,提升自己的管理權限,並且曾經試圖消除入侵的記錄檔案。
到4月25日為止,都無法確認入侵範圍,也無法確定信用卡資料是否已經遭到竊取。Sony認為,如果將調查期間尚未確定的消息曝光,會導致用戶和市場的混亂,因此決定暫時保密。
4月26日,Sony公開說明PSN遭受侵入的消息,並指出「無法確認信用卡資料是否已外流」。
5. 到底洩漏了多少的資料?
PSN內總計7700萬用戶的個人資料都確定被盜走。
6. 到底駭客是怎麼入侵的?
我們認為已經掌握了駭客的入侵方式,但是為了避免導致其他企業的損失(駭客可能用相同道理入侵其他公司),因此詳細過程無法公開。
7. 鎖定特定嫌疑犯了嗎?
沒有。
8. 到底被盜走哪些資料?
計有:姓名、地址、國籍、電子郵件信箱、生日、PSN的登入ID、PSN的登入密碼(雜湊)。迄今為止,尚未傳出被盜刷或是個資遭變賣的災情。
9. 擁有信用卡資料的用戶數目?
美國本地有560萬,世界共計1230萬。包含到期和未到期兩者。
10. 為何無法判定信用卡資料是否被竊取?
根據分析結果,無法找到「信用卡資料沒有從PSN外流」的證據。此外,雖然確定駭客已經從資料庫中調閱大量的個人資料,卻無法確定是否包含信用卡資料。
11. 今後的資安防治手段?
資料轉移動作會採用更高的加密法、導入其他的監控工具和防火牆、設立CISO *職位等等。
* chief information security officer,資安總監
12. 貴社的資訊安全標準?
我們採用ISO/IEC 27001 *的標準。
* 目前主流的資訊安全協定
13. 針對這次入侵事件的後續處理?
我們會建構一個安全的個人資料維護機制,維護每一位用戶的權利。另外,為了感謝用戶對我們這段時間的忍耐和幫助,我們會釋出一些免費服務及內容,其名稱為「Welcome Back Program」。內容計有免費遊戲下載、PlayStation Plus和Music Unlimited的一個月免費使用期等等。每個地域的服務內容會有所差異。
結論:PSN很快就會回復正常運作了…嗎?
Sony在美國時間5月5日宣布,PSN新系統的內部測試已經進展到最後階段,準備回復正常運作。Sony的執行長Howard Stringer還公開了一封道歉信,指出「我們會在這幾天內恢復PSN的運作,並歡迎玩家再次回到這裡追求樂趣。我希望能讓玩家們知道,我們會以最高的服務品質服務玩家、保護您的個人資訊,讓您回來登入系統,享受符合您期望的遊戲和娛樂體驗。」
雖然這些動作可以稍稍挽回玩家那失望的心,但是最重要的問題「PSN到底什麼時候才修得好?」Sony卻三箴其口。看來,我們也只能繼續等下去了。
PlayStation Plus:加減用.....滿意買一年XD
Music Unlimited:台灣看得到,吃不到。故跳過