Sony 書面報告: PSN 有7700萬個資被盜

Sony 書面報告: PSN 有7700萬個資被盜

自從PSN於4月中旬被駭客入侵並盜走用戶資料以來,玩家和用戶的不滿逐漸累積,甚至驚動了美國的眾議院。Sony除了提交一份報告書以澄清眾議院的疑慮外,還宣布PSN即將回復正常運作的消息。我們就來看看,Sony葫蘆裡賣什麼膏藥。

Sony拒絕出席眾議院的公聽會

Sony 書面報告: PSN 有7700萬個資被盜

Sony的PSN駭客事件發生以來,除了讓自家的股票慘跌以外,還讓許多的玩家感到困擾和憤怒。美國的眾議院認為這件事相當嚴重,便要求Sony於5月4日出席它們的公聽會,針對PSN的事件進行澄清和說明。Sony以「目前還在調查中」的理由拒絕出席,取而代之的是一份以SCEA的執行長,平井一夫名義所整理的8頁報告書。

報告書的重點彙整

這份報告書扣除簽名的1頁和概要說明的2頁以外,剩餘5頁的內容為它們整理的13項問答。內容經過整理之後,大概如下所示:

1. 系統遭受入侵的時間

美國時間4月19日,美國新力娛樂網(Sony Network Entertainment America)的管理團隊發現伺服器異常後,便開始調閱管理記錄檔並進行評估。4月20日,發現非法入侵的證據,並注意到不正常的資料傳輸紀錄。隨後立刻切斷PSN系統進行維修檢測。

2. 何時察覺遭受入侵?

(同上)

3. 通知當局的時間

Sony 書面報告: PSN 有7700萬個資被盜

4月22日,SCEA的法務部門通知了FBI,告訴它們「無法掌握入侵的程度和範圍」,並敲定雙方會談的時間為4月27日。到了4月26日,Sony正式宣布PSN遭受入侵,而且用戶的資料可能已經外流。

4. 為什麼這麼慢才通知消費者?

PSN網路是由130個伺服器,50種軟體,以及7700萬的用戶所組成的複雜系統。從4月19日發現可疑跡象之後,它們組成了多人小組進行調查。隔日,發現受到入侵的跡象,同時判定其他伺服器也可能受到影響。當日隨即宣布PSN下線整修,並延請外界的資安機構介入調查。

4月21日,第二家資安機構加入調查行列。

4月23日晚上,調查結果顯示曾經有技巧洗練的駭客入侵系統,瞞過Sony的監控,提升自己的管理權限,並且曾經試圖消除入侵的記錄檔案。

到4月25日為止,都無法確認入侵範圍,也無法確定信用卡資料是否已經遭到竊取。Sony認為,如果將調查期間尚未確定的消息曝光,會導致用戶和市場的混亂,因此決定暫時保密。

4月26日,Sony公開說明PSN遭受侵入的消息,並指出「無法確認信用卡資料是否已外流」。

5. 到底洩漏了多少的資料?

Sony 書面報告: PSN 有7700萬個資被盜

PSN內總計7700萬用戶的個人資料都確定被盜走。

6. 到底駭客是怎麼入侵的?

我們認為已經掌握了駭客的入侵方式,但是為了避免導致其他企業的損失(駭客可能用相同道理入侵其他公司),因此詳細過程無法公開。

7. 鎖定特定嫌疑犯了嗎?

沒有。

8. 到底被盜走哪些資料?

計有:姓名、地址、國籍、電子郵件信箱、生日、PSN的登入ID、PSN的登入密碼(雜湊)。迄今為止,尚未傳出被盜刷或是個資遭變賣的災情。

9. 擁有信用卡資料的用戶數目?

美國本地有560萬,世界共計1230萬。包含到期和未到期兩者。

10. 為何無法判定信用卡資料是否被竊取?

根據分析結果,無法找到「信用卡資料沒有從PSN外流」的證據。此外,雖然確定駭客已經從資料庫中調閱大量的個人資料,卻無法確定是否包含信用卡資料。

11. 今後的資安防治手段?

Sony 書面報告: PSN 有7700萬個資被盜

資料轉移動作會採用更高的加密法、導入其他的監控工具和防火牆、設立CISO *職位等等。

* chief information security officer,資安總監

12. 貴社的資訊安全標準?

Sony 書面報告: PSN 有7700萬個資被盜

我們採用ISO/IEC 27001 *的標準。

* 目前主流的資訊安全協定

13. 針對這次入侵事件的後續處理?

我們會建構一個安全的個人資料維護機制,維護每一位用戶的權利。另外,為了感謝用戶對我們這段時間的忍耐和幫助,我們會釋出一些免費服務及內容,其名稱為「Welcome Back Program」。內容計有免費遊戲下載、PlayStation Plus和Music Unlimited的一個月免費使用期等等。每個地域的服務內容會有所差異。

結論:PSN很快就會回復正常運作了…嗎?

Sony 書面報告: PSN 有7700萬個資被盜

Sony在美國時間5月5日宣布,PSN新系統的內部測試已經進展到最後階段,準備回復正常運作。Sony的執行長Howard Stringer還公開了一封道歉信,指出「我們會在這幾天內恢復PSN的運作,並歡迎玩家再次回到這裡追求樂趣。我希望能讓玩家們知道,我們會以最高的服務品質服務玩家、保護您的個人資訊,讓您回來登入系統,享受符合您期望的遊戲和娛樂體驗。」

雖然這些動作可以稍稍挽回玩家那失望的心,但是最重要的問題「PSN到底什麼時候才修得好?」Sony卻三箴其口。看來,我們也只能繼續等下去了。

參考網址:

vermilion
作者

雖然人們對我嗤之以鼻,但當我望著箱中錢財時,內心仍暗自竊喜 -古羅馬名諺

使用 Facebook 留言
fauzty
1人給推

1.  fauzty (發表於 2011年5月06日 19:22)
SNEA? (Sony Network Entertainment America) 記得以前不是叫 SCEA 嗎?查了才發現,原來今年4月1日,SCE(舊)切割成兩個公司SCE(新)和SNE。而改名(切割)之後不到一個月就出了這個大事件,還真倒楣 XD
音樂自備
2人給推

2.  音樂自備 (發表於 2011年5月06日 19:26)
免費遊戲下載:剛好愁沒遊戲可玩....
PlayStation Plus:加減用.....滿意買一年XD
Music Unlimited:台灣看得到,吃不到。故跳過
發表回應
謹慎發言,尊重彼此。按此展開留言規則