Klienci Sony mają powody do obaw

Klienci Sony mają powody do obaw PlayStation Network

Sprawę włamania do systemów przedsiębiorstwa i kradzieży danych potwierdzono na oficjalnym blogu Sony dopiero około tygodnia od momentu ataku hakerów.

Sprawa kradzieży milionów danych osobowych klientów japońskiego giganta – firmy Sony, bezceremonialnie obnażyła nie tylko niewystarczający poziom zabezpieczeń informacji przechowywanych na serwerach przedsiębiorstwa, ale zobrazowała również znaczne nieprawidłowości w sferze polityki informacyjnej koncernu. Choć na pierwszy rzut oka najbardziej niebezpieczną wydaje się być kradzież informacji o kartach kredytowych użytkowników platformy PlayStation Network, to zbiór pozyskanych przez cyberterrorystów informacji, posłużyć może do kradzieży całej tożsamości jej klientów.

Zwłoka w przekazaniu informacji

Sprawę włamania do systemów przedsiębiorstwa i kradzieży danych potwierdzono na oficjalnym blogu Sony dopiero około tygodnia od momentu ataku hakerów. Poinformowano wtedy: „Drogi kliencie PlayStation Netwirk / Quiocity: Odkryliśmy, że w dniach między 17 kwietnia, a 19 kwietnia 2011, niektóre informacje z kont użytkowników usług PlayStation Network (PSN) i Qriocity zostały naruszone w wyniku nieprawnej i nieautoryzowanej ingerencji w naszej sieci”. 

W odpowiedzi na pojawiające się natychmiast zarzuty dotyczące tak długiego okresu oczekiwania na przekazanie informacji o włamaniu i kradzieży, starszy dyrektor do spraw komunikacji korporacyjnej Sony Computer Entertainment of America Patrick Seybold wyjaśniał: „Istnieje różnica w czasie pomiędzy zidentyfikowaniem włamania, a potwierdzeniem naruszenia danych naszych klientów. Dowiedzieliśmy się o wtargnięciu 19 kwietnia, po czym wyłączyliśmy serwery obsługujące PlayStation Network i Qriocity. Następnie wynajęliśmy zewnętrznych ekspertów do pomocy w wyjaśnieniu sposobu włamania oraz do przeprowadzenia dochodzenia, w celu ustalenia rodzaju i zakresu ataku. Konieczne było poświęcenie kliku dni na fachową analizę, która do wczoraj zajęła naszym ekspertom zrozumienie skali ataku”.

Oszałamiająca skala kradzieży

W trybie wyjaśniania sprawy okazało się, że wyłącznie w tym ataku łupem cyberprzestępców paść mogło nawet siedemdziesiąt siedem milionów pakietów danych osobowych klientów japońskiego potentata. Lista wykradzionych informacji zawierała między innymi podstawowe dane przekazywane podczas zakładania konta w serwisach Sony jak: imię, nazwisko, adres, datę urodzenia, adres e-mail, login i hasło do PSN oraz dane dotyczące bezpośredniej działalności w „sieci” Sony jak: historia zakupów, pytania pomocnicze zadawane przy rejestracji czy adres stosowany w przypadku rozliczeń. To jednak nie koniec. Największe zaniepokojenie opinii publicznej, a szczególnie klientów Sony wzbudziła informacja dotycząca możliwego pozyskania danych finansowych użytkowników platformy. „ Chociaż na chwilę obecną nie ma dowodów, by skradzione zostały również numery kart kredytowych, nie możemy wykluczyć i takiej możliwości. Jeśli podawałeś dane karty kredytowej za pośrednictwem PlayStation Network lub Qriocity zachowując wszelkie środki ostrożności, informujemy, że osoby trzecie mogły uzyskać również dostęp do numeru twojej karty kredytowej (z wyjątkiem kodu bezpieczeństwa) oraz jej daty ważności” poinformowano lakonicznie.

Sony chcąc ratować resztki zaufania swoich dotychczasowych i przyszłych klientów już w pierwszym komunikacie doradzał, w jaki sposób zabezpieczyć konta klienckie i kredytowe oraz przestrzegał przed możliwością innych oszustw dokonywanych na podstawie wykradzionych danych, jak np. pozyskanie innych informacji poufnych i osobowych dzięki wykorzystaniu skradzionego numeru telefonu lub adresu e-mail.

Unowocześnione zabezpieczenia

Koncern zdecydował o przywróceniu wcześniej wyłączonych z powodu prowadzonego dochodzenia usług PlayStation Network i Qriocity 17 maja 2011 roku. Ich aktywowanie przeprowadzano stopniowo, a pełna funkcjonalność systemu osiągnięta została po niespełna dwóch tygodniach od rozpoczęcia odtwarzania platform. 

Zgodnie z informacjami przekazanymi przez koncern w oficjalnej nocie dotyczącej ponownej dostępności platform, przedsiębiorstwo podczas przestoju PSN dokonało znaczących zmian w zakresie bezpieczeństwa danych „sieci”. Sony wraz z szeregiem niezależnych firm unowocześniła dotychczasowe zabezpieczenia, wzbogacając je o nowe technologie. Koncern zastosował również specjalne programy umożliwiające nieprzerwany monitoring oprogramowania i wtargnięć systemowych oraz wzmocnił tryb szyfrowania i zainstalował dodatkowe zapory, mające zabezpieczyć system przed wystąpieniem podobnych, zuchwałych kradzieży w przyszłości. „Pragnę wyrazić szczery żal z powodu niedogodności na jakie zostaliście narażeni w wyniku zaistniałych zdarzeń. Chciałbym też podziękować za cierpliwość, którą wykazaliście, gdy staraliśmy się przywrócić działanie usług. Jestem wam niesłychanie wdzięczny za wytrwałość i wsparcie, którego nam udzielacie. Zdajemy sobie sprawę, że nawet najwierniejsi z naszych klientów byli już zniecierpliwieni i nie mogli się doczekać ponownego udostępnienia usług i możliwości skorzystania z posiadanych systemów Sony. Podjęliśmy zdecydowane, wielopoziomowe działania mające na celu rozwianie wszelkich obaw, jakie pojawiły się w związku z zaistniałym incydentem. Cały zespół naszej firmy poświęca obecnie sto procent swojego czasu pracom nad zabezpieczeniem danych klientów” powiedział Kazuo Hirai, wiceprezes wykonawczy firmy Sony Corporation.

Przerażające wnioski

W całej sytuacji krew w żyłach mrozi fakt, że osoby, które dokonały włamania do serwerów Sony, są obecnie w posiadaniu milionów danych o użytkownikach usług sieciowych koncernu z całego świata. Z jednej strony użytkownicy są w tej chwili narażeni na bezpośrednie kradzieże środków finansowych z ich kart kredytowych, a z drugiej - na cały szereg przestępstw mających, powiedzmy, charakter pośredni. Może być to między innymi wyłudzenie dalszych informacji, oszustwa dokonywane na podstawie zrabowanych danych, jak chociażby podrabianie przeróżnych dokumentów, a w przypadku skrajnym informacje te posłużyć mogą do kradzieży samej tożsamości klientów Sony. Jedno trzeba stwierdzić - pewność i poczucie bezpieczeństwa użytkowników przeróżnych serwisów internetowych drastycznie spadła. Skoro z atakiem nie poradził sobie światowy gigant, to jak w porównaniu z nim z podobnym aktem cyberterroru poradzą sobie mniejsze, choćby krajowe serwisy?

Podobne artykuły:

Piotr Głowacki Kancelaria Prawna Skarbiec-Warszawa