Hackování a vypnutí sítě PlayStation Network ( PSN ) je úspěšný neautorizovaný přístup , provedený mezi 17. dubnem a 19. dubnem 2011, k datům služeb PlayStation Network a Qriocity Internet , který útočníkům umožnil získat osobní údaje uživatelů. (v té době bylo evidováno 77 milionů účtů) [1] . V reakci na to, v době, kdy bylo narušení (20. dubna 2011) ve svých systémech objeveno, společnost Sony zakázala přístup ke svým službám a zahájila vlastní vyšetřování toho, co se stalo. Uživatelský přístup k PSN byl obnoven 15. května 2011. Přístup do PS Store byl obnoven 2. června pro Severní Ameriku a Evropu.
Během hacku PSN byl počet registrovaných účtů v jeho síti 77 milionů, což z něj dělá největší incident v historii (předchozí „rekord“ patří hacku TJX Companies, která postihla 45 milionů uživatelů). Mnoho úřadů označilo hack PSN za jeden z největších hacků v historii internetu a některé, zejména Develop [2] a SkyNews [3] , označily tento incident za největší únik důvěrných dat v historii internetu. digitální věk. Mnoho zdrojů, včetně The Daily Telegraph [4] a Canadian Broadcasting Corporation [5] , zařadilo tuto událost do seznamu pěti největších informačních útoků v historii.
Za zmínku stojí, že všechny nároky uživatelů vůči Sony byly nakonec soudem ve Spojených státech zamítnuty, protože přístup k Playstation Network je uživatelům poskytován zdarma a společnost Sony sama nebyla účastníkem hackování jejích systémů. [6] , ale v Kanadě v dubnu 2013 soud rozhodl ve prospěch obětí [7] .
20. dubna 2011 společnost Sony na oficiálním blogu uznala, že některé funkce sítě PlayStation Network byly deaktivovány. Majitelé PlayStation 3 dostávali při pokusu o přihlášení do PSN zprávu, že síť prochází údržbou. [8] [9]
Společnost později oznámila „vnější rušení“ ovlivňující služby PlayStation Network a Qriocity. [10] K průniku do vnitřní sítě došlo mezi 17. a 19. dubnem. 20. dubna společnost Sony celosvětově uzavřela PlayStation Network a Qriocity jako ochranné opatření. [11] 25. dubna mluvčí Sony Patrick Seybold na oficiálním blogu oznámil, že proces obnovy služeb bude trvat dlouho a přesná doba obnovy není známa. [12] Sony později přiznalo, že nelegální průnik do interní sítě společnosti by mohl ohrozit osobní data uživatelů. [13]
28. dubna Sony rozeslala novou verzi SDK [14] vývojářům her pro PlayStation3 .
Společnost Sony oznámila 1. května program „Welcome Back“ pro všechny uživatele postižené výpadkem sítě a také oznámila předpokládané datum obnovy – první květnový týden. [15] [16]
2. května společnost vydala tiskovou zprávu, podle níž byly některé služby Sony Online Entertainment (SOE) také deaktivovány z důvodu údržby z důvodu možné trestné činnosti spojené s prvním útokem. Útočníci měli přístup k zašifrovaným informacím o více než 12 000 držitelích kreditních karet a datům 24,7 milionů uživatelů SOE. [17] [18] Během tiskové konference se vrcholní manažeři, kteří odpovídali na dotazy novinářů, omlouvali nejen slovně, ale také formou ojigi . [19]
4. května zveřejnila společnost Sony na blogu PlayStation Blog odpověď společnosti na situační šetření Sněmovny reprezentantů USA [20] , ve které Sněmovnu reprezentantů informovala, že společnost se stala obětí pečlivě naplánovaného, vysoce profesionálního a sofistikovaného kybernetického útoku. Byly nalezeny důkazy, že do tohoto útoku byla zapojena hackerská skupina Anonymous a byl potvrzen únik osobních údajů uživatelů, ale společnosti vydávající kreditní karty nenahlásily podvodné transakce související s odcizenými daty.
6. května společnost Sony oznámila „závěrečné fáze interního testování“ aktualizované verze PlayStation Network. [21] Představitelé společnosti však uvedli, že nebudou moci zprovoznit služby online během prvního květnového týdne, jak bylo dříve slíbeno, kvůli zjištění dalšího útoku na servery Sony Online Entertainment, o kterém se nevědělo. [22]
Počínaje 14. květnem se služby PSN začaly vracet online s regionálním rozdělením, počínaje Severní Amerikou. [23] Ve stejné době byla k dispozici nová verze firmwaru 3.61 pro PlayStation 3. [24]
16. května společnost Sony Online Entertainment oficiálně oznámila obnovení svých herních serverů a odpovídající obnovení MMO her , jako jsou Everquest II , DC Universe Online a Free Realms . [25]
18. května byla ve službách SOE deaktivována funkce resetování hesla kvůli objevené zranitelnosti, která umožňovala měnit hesla z účtů jiných lidí na základě e-mailové adresy a data narození uživatele. [26] [27]
K 23. květnu kvůli výpadku služeb společnost ztratila přes 171 milionů dolarů. [28] Očekává se, že celková ztráta společnosti za fiskální rok bude 3,1 miliardy $ (toto číslo zahrnuje také ztráty společnosti z největšího zemětřesení v japonské historii ) [29] .
Akcie Sony klesly o 5 % kvůli hacknutí PSN [30] . Očekávaný pokles zisků z téměř dvoutýdenní nedostupnosti odhadují někteří vývojáři na 10 % [31] .
Senior viceprezident společnosti Capcom Christian Svensson na blogu společnosti napsal, že uzavření PSN stojí společnost stovky tisíc dolarů, ne-li miliony, ušlého zisku, se kterým Capcom počítal . Ušlý příjem z prodeje her přes PSN v důsledku tohoto incidentu byl podle něj již rozpočtován, takže absence těchto peněz by mohla negativně ovlivnit vývoj nových her. [32] [33]
Mluvčí Namco Katsuhiro Harada , který je producentem série Tekken , v rozhovoru řekl, že vypnutí PSN ovlivnilo práci společnosti – společnost nebyla schopna vydat plánované DLC pro své hry [34] .
SOCOM 4: US Navy Seals , vydaný den před vypnutím PSN a exkluzivně pro konzoli Playstation 3 , je již považován za propadák [32] .
Web Edge zveřejnil článek citující zástupce různých britských herních obchodů, podle kterého došlo k obrovskému nárůstu prodejů použitých konzolí PlayStation 3 . Manažer velkého britského prodejce říká: „Během prvního týdne nedostupnosti PSN jsme nezaznamenali žádnou změnu v číslech, od druhého týdne vidíme 200% nárůst vrácených konzolí PlayStation 3 . Polovina navrátilců za ně chce dostat zaplaceno a polovina je chce vyměnit za Xbox 360 . [35]
Belgický prodejce Gameswap říká, že došlo k jasnému nárůstu počtu výměn konzolí PlayStation 3 za konzoli Xbox 360 , ale ve všech těchto případech je osoba, která za svou konzoli kupuje, fanouškem série Call of Duty . „Obvykle na konci měsíce si lidé přinesou své konzole a chtějí peníze na oplátku, aby zaplatili účty,“ říká, „ale tentokrát lidé přinesou všechny své hry a chtějí vyměnit konzoli za Xbox 360 . A pokaždé je to fanoušek Call of Duty: Modern Warfare 2 nebo Call of Duty: Black Ops ." [36]
Také hlášeny změny v předobjednávkách . Předobjednávky her pro Playstation 3 jsou zrušeny a znovu vydány na stejné hry, ale pro konzoli Xbox 360 [37] .
Dne 6. května 2011 zveřejnila slavná mezinárodní tisková agentura Reuters exkluzivní článek s názvem „Analýza: Problémy společnosti Sony mohou způsobit, že někteří přehodnotí cloud computing “ . V tomto článku agentura Reuters shromáždila názory a prohlášení některých odborníků na internetové služby a online bezpečnost a také analyzovala nejnovější trendy na trhu cloud computingu. Článek tvrdí, že hack a vypnutí sítě PlayStation Network mělo velký dopad na trh cloud computingu . Dalším dopadem byl výpadek cloudových služeb Amazon EC2 , který trval od 21. dubna do 25. dubna. Tyto události vedly k tomu, že akcie mnoha cloudových společností začaly klesat, a to i přesto, že až do této chvíle zaznamenaly jejich neustálý růst. Konkrétně akcie Salesforce.com klesly o 3 % a akcie VMware o 2 %. A to se stalo na pozadí průměrného 3,3procentního nárůstu akciového indexu Standard & Poor's 500 v tomto období. Bylo známo, že mnoho společností-zákazníků internetových služeb změnilo svůj názor na cloud computing a dokonce je odmítlo používat. [38] [39]
Profesor Dartmouth University Eric Johnson , který radí velkým společnostem ohledně strategií rozvoje v oblasti počítačových technologií, uvedl, že nikdo, kdo používá cloudové služby, není bezpečný a Sony je „jen špičkou ledovce“. [38] [39]
Murray Jennex , profesor informačních systémů na Státní univerzitě v San Diegu, řekl: "Dokonce i služby, o kterých si myslíte, že by měly být spolehlivé, jako je placení daní online, mohou být nebezpečné." [38] [39]
Bezpečnostní analytik cloudových služeb Jay Heiser zaznamenal negativní příspěvek bezohledných obchodníků k tomuto incidentu . Cloud marketéři podle něj „odvedli skvělou práci“ a neustále ujišťovali své zákazníky, že cloudová řešení jsou spolehlivá a bezpečná, když realita je zcela jiná. [38] [39]
Prezident Axis Technology Mike Logan přirovnal cloudové služby k Facebooku : „Pokud tam dáte všechny důležité informace, hádejte co? Lidé to budou moci vidět.“ [38] [39]
Editor Consumer Reports Electronics Jeff Fox poznamenal, že spotřebitelé očekávají, že velké společnosti jako Sony budou brát ochranu dat velmi vážně a profesionálně . "Koneckonců, i když společnosti jako Sony nechrání svá data dobře, kdo je chrání dostatečně?" ptá se Jeff Fox. [38] [39]
Cynthia Larose, soukromá právnička společnosti Mintz Levin , uvedla, že v současnosti nejsou zákazníci cloudových služeb obvykle dostatečně chráněni před výpadky služeb nebo bezpečnostními dírami. LaRose věří, že v blízké budoucnosti dojde v odvětví cloud computingu k důležitým změnám. Také podle jejího prohlášení organizace a společnosti ve zdravotnictví a finančním průmyslu, které mají spoustu duševního vlastnictví, již hledají speciální pojistné programy, které je ochrání před kyberzločinci. [38] [39]
Podle agentury Reuters se v době zveřejnění článku již mnoho poskytovatelů cloudových služeb setkává s přáním svých zákazníků vyjednat nové smlouvy, které zahrnují finanční odpovědnost poskytovatelů za narušení služby nebo bezpečnostní problémy. Tuto informaci poskytl Ford Winslow , hlavní informační ředitel společnosti Abnology , který také uvedl, že smlouvy uzavřené s jejich prvními klienty nyní po tříletém období končí a společnosti chtějí ujednat dodatečné podmínky smluv, související s různými katastrofami a výpadky služeb. [38] [39]
26. dubna společnost uznala, že by mohlo dojít k úniku osobních údajů uživatelů PSN, včetně názvu účtu, hesla, domova a e-mailové adresy. [40] Přestože byly informace o kreditních kartách zašifrovány, uživatelé obdrželi varování s doporučeními na ochranu osobních a finančních informací až o týden později, kdy byl hlavní distribuční kanál těchto informací – samotná síť PSN – nedostupný. [41]
Někteří odborníci navrhli, že pokud byla hackerská situace tak kritická, že bylo nutné vypnout síť po celém světě, měla společnost Sony upozornit uživatele na možnou krádež informací mnohem dříve než 26. dubna. [42] Takové kroky společnosti by mohly naznačovat porušení bezpečnostních standardů PCI DSS , které vyžadují okamžité upozornění zúčastněných stran na možné ohrožení dat. Americký senátor Richard Blumenthal si vyžádal informace od generálního ředitele Sony Jacka Trettona o důvodech zpoždění. [43] [44] [45] .
Odpovědí na takové otázky společnosti byla publikace na blogu PSN USA , která vysvětluje, že odborníci na skutečnost krádeže osobních údajů přišli až 25. dubna 2011 při podrobném rozboru incidentu a ještě nějakou dobu trvalo, než zjistit seznam dat, ke kterým útočníci získali přístup [46] .
Jak bylo uvedeno, společnost Sony Network Entertainment America prostřednictvím probíhajícího vyšetřování nebyla schopna s jistotou určit, zda byly informace o kreditní kartě staženy ze sítě PlayStation Network. Pokud jde o další osobní údaje, víme, že hacker provedl dotazy do databáze a externí forenzní týmy zaznamenaly velké množství informací přenášených v reakci na tyto dotazy. Naše vyšetřovací týmy nenašly žádosti a související přenosy dat související s informacemi o kreditních kartách.
Britští vyšetřovatelé donucovacích orgánů považovali přijatá ochranná opatření za neuspokojivá, protože se útočníkům podařilo získat přístup k databázi uživatelů. V důsledku vyšetřování byla Sony pokutována 250 000 £ za nedodržení britských zákonů na ochranu dat. [47]
K 22. červenci 2011 společnost Sony obdržela 55 žalob od jednotlivců a skupin jednotlivců a postaví se před soud. Společnost byla také žalována velkou pojišťovací společností Zurich American , která tvrdila, že by neměla finančně pomáhat společnosti Sony platit za tyto případy na základě stávající pojistné smlouvy mezi společnostmi, která vyplácí pouze v případě fyzického zranění zaměstnanců společnosti Sony [48] .
26. dubna byl zveřejněn materiál o možných důvodech hacku PSN. Domácí firmware pro konzoli PlayStation 3 vám umožňuje vstoupit do sítě tím, že se identifikujete jako jeden z vývojářů, což zase poskytuje přístup k interní síti Sony pro vývojáře a jednoduchými manipulacemi můžete získat plný přístup ke všem sítím. obsah [49] . V době prací na obnově provozuschopnosti sítě byl přístup k PSN uzavřen i vývojářům [50] .
4. května 2011 na slyšení v americkém Kongresu zástupci Sony kromě jiných zpráv podrobně hovořili o struktuře serverů a ochraně PlayStation Network a také o mechanismu hackerů implementovaných hackery. Shinji Hasejima, Chief Information Officer společnosti Sony, poskytl ilustraci struktury PSN a poskytl své vysvětlení. [2]
Struktura PSN se skládá ze tří úrovní, z nichž na první je webový server , na druhé webový aplikační server a na třetí databázový server , ve kterém se skutečně nacházejí osobní údaje uživatelů PSN. Mezi těmito třemi servery jsou nainstalovány brány firewall a mezi nimi koluje pouze minimální množství osobních údajů potřebných pro autorizaci. S touto třívrstvou ochranou bylo Sony přesvědčeno, že bude naprosto dostačující pro jakýkoli průnik zvenčí, nebo alespoň pro včasné varování před útokem [2] .
Podle Shinji Hasejimy nebylo Sony nikdy předtím takto napadeno. Hack byl proveden jako standardní transakce , takže nebyl detekován žádným firewallem. „Byly odeslány určité [softwarové] příkazy […], byl to velmi kvalifikovaný a inteligentní přístup […], který umožnil manipulovat s naší sítí zvenčí. Takže jsme nebyli schopni detekovat vloupání zvenčí,“ řekl Shinji Hasejima. Útok byl popsán jako velmi složitý a provedl jej velmi dobře vyškolený specialista. [2]
Ze tří serverů, které tvoří síť PSN, byl webový aplikační server z hlediska zabezpečení nejslabší. „Předpokládáme, že útočníci byli schopni úspěšně infiltrovat systém pomocí zranitelností ve webovém aplikačním serveru,“ řekl Shinji Hasejima. Předpokládá se, že hacknutím webového aplikačního serveru a spuštěním neoprávněného kódu na něm útočníci získali přístup k databázovému serveru. To je důvod, proč Sony nemůže vyloučit krádež identity: získáním přístupu do databáze by útočníci mohli extrahovat všechna tam přítomná data. [2]
Kvůli hacknutí byly podrobnosti o účtu 77 milionů uživatelů PSN vystaveny možnosti odcizení. Tyto podrobnosti zahrnují, ale nejsou omezeny na přihlašovací údaje , hesla, bezpečnostní otázky a další údaje. Podle Sony byla hesla hašována a čísla kreditních karet zašifrována. [2]
Shinji Hasejima uvedl, že zranitelnosti systému PSN byly známy, ale nebyla jim přikládána patřičná důležitost. [2]
Shiro Kambe, senior viceprezident společnosti Sony, nabídl jasnou omluvu: „Mysleli jsme si, že máme nad systémem dostatečnou kontrolu a plně jej chráníme, ale když se podíváme zpět, existuje prostor pro další zlepšení ochrany. Musíme přiznat, že současná ochrana nestačila.“ [2]
Program „Welcome Back“ oznámila společnost Sony 1. května 2011 s cílem odškodnit uživatele za nucené odstavení sítě PSN a z toho plynoucí nepříjemnosti. [15] [16] Program poskytoval přístup k „vybranému zábavnímu obsahu PlayStation“, bezplatné 30denní předplatné služby PlayStation Plus pro všechny uživatele PSN (nebo dalších 30 dní předplatného pro stávající členy PlayStation Plus). [16]
Streamovací služba Hulu TV , kterou lze používat i na PlayStation 3, kompenzovala všechny majitele konzole za nemožnost používat službu a poskytla jeden týden bezplatného přístupu ke službám Hulu Plus. [51] [52]
16. května společnost Sony oznámila, že uživatelé PSN budou moci zdarma získat dvě hry pro PlayStation 3 a PlayStation Portable ze seznamu poskytnutého společností. [53] [54] Seznam her byl specifický pro region a byl k dispozici pouze zemím, které měly přístup do obchodu PlayStation Store před vypnutím PSN. [54]
| Hra | Severní Amerika [53] | Evropa (kromě Německa) [54] | Německo [54] | Asie [55] | Japonsko [56] |
|---|---|---|---|---|---|
| Wipeout HD/Fury | Ano | Ano | Ano | Ano | Ano |
| Malá velká planeta | Ano | Ano | Ano | Ne | Ne |
| Neslavný | Ano | Ano | Ne | Ne | Ne |
| mrtvý národ | Ano | Ano | Ne | Ne | Ne |
| Super Stardust HD | Ano | Ne | Ano | Ne | Ne |
| Ratchet & Clank: Quest for Booty | Ne | Ano | Ano | Ne | Ne |
| Hustle Kings | Ne | Ne | Ano | Ano | Ano |
| Poslední chlap | Ne | Ne | Ne | Ano | Ano |
| Odpadkový koš | Ne | Ne | Ne | Ano | Ne |
| Pojď, LocoRoco!! BuuBuu Cocoreccho | Ne | Ne | Ne | Ano | Ano |
| Echochrome: Předehra | Ne | Ne | Ne | Ne | Ano |
| Hra | Severní Amerika [53] | Evropa (kromě Německa) [54] | Německo [54] | Asie [55] | Japonsko [56] |
|---|---|---|---|---|---|
| Malá velká planeta | Ano | Ano | Ano | Ano | Ano |
| ModNation Racers | Ano | Ano | Ano | Ano | Ne |
| Síla pronásledování | Ano | Ano | Ne | Ne | Ne |
| Killzone: Osvobození | Ano | Ano | Ne | Ne | Ne |
| Každý je golf 2 | Ne | Ne | Ano | Ne | Ne |
| Buzz Junior Jungle Party | Ne | Ne | Ano | Ne | Ne |
| Každý je proti stresu | Ne | Ne | Ne | Ano | Ano |
| Locoroco půlnoční karneval | Ne | Ne | Ne | Ano | Ano |
| Patapon 2 | Ne | Ne | Ne | Ne | Ano |
| Čím jsem si to zasloužil, můj pane? | Ne | Ne | Ne | Ne | Ano |
| Play Station | ||||||||
|---|---|---|---|---|---|---|---|---|
| Herní konzole |
| |||||||
| Hry |
| |||||||
| síť |
| |||||||
| Ovladače |
| |||||||
| kamery | ||||||||
| Soupravy |
| |||||||
| Systémový software |
| |||||||
| Média |
| |||||||
| jiný |
| |||||||