Att hacka och stänga av PlayStation Network ( PSN ) är en framgångsrik obehörig åtkomst , som genomfördes mellan 17 april och 19 april 2011, till data från PlayStation Network och Qriocity Internettjänster , vilket gjorde det möjligt för angripare att få tag på användarnas personuppgifter (vid den tiden fanns det registrerade 77 miljoner konton) [1] . Som ett svar, när intrånget upptäcktes (20 april 2011) i sina system, inaktiverade Sony åtkomsten till sina tjänster och började sin egen undersökning av vad som hände. Användaråtkomst till PSN återställdes den 15 maj 2011. Tillgången till PS Store har återställts den 2 juni för Nordamerika och Europa.
Under PSN-hacket var antalet registrerade konton i nätverket 77 miljoner, vilket gör detta till den största incidenten i historien (det tidigare "rekordet" tillhör TJX Companies- hacket, som påverkade 45 miljoner användare). Många myndigheter har beskrivit PSN-hacket som ett av de största hackarna i internets historia, och vissa, i synnerhet Develop [2] och SkyNews [3] , kallade denna incident för den största läckan av konfidentiell data i historien. digital ålder. Många resurser, inklusive The Daily Telegraph [4] och Canadian Broadcasting Corporation [5] , har inkluderat denna händelse i listan över de fem största informationsattackerna i historien.
Det är värt att notera att alla användaranspråk mot Sony i slutändan avvisades av domstolen i USA, eftersom åtkomst till Playstation Network tillhandahålls användarna gratis och Sony själv inte deltog i hackningen av dess system [6] , men i Kanada i april 2013 år, dömde domstolen till förmån för offren [7] .
Den 20 april 2011 erkände Sony i en officiell blogg att en del av PlayStation Networks funktioner var inaktiverade. När de försökte logga in på PSN fick PlayStation 3 -ägare ett meddelande om att nätverket var under underhåll. [8] [9]
Företaget rapporterade senare "utomstående störningar" som påverkar PlayStation Network och Qriocity-tjänsterna. [10] Penetreringen i det interna nätverket skedde mellan den 17 och 19 april. Den 20 april stängde Sony ner PlayStation Network och Qriocity över hela världen som en skyddsåtgärd. [11] Den 25 april meddelade Sonys talesman Patrick Seybold på den officiella bloggen att processen med att återställa tjänster kommer att ta lång tid och den exakta återställningstiden är okänd. [12] Sony medgav senare att ett olagligt intrång i företagets interna nätverk kunde äventyra användarnas personuppgifter. [13]
Den 28 april skickade Sony ut en ny version av SDK [14] till PlayStation3-spelutvecklare .
Den 1 maj tillkännagav Sony programmet "Welcome Back" för alla användare som drabbats av nätverksavbrottet, och meddelade även det beräknade återhämtningsdatumet - första veckan i maj. [15] [16]
Den 2 maj utfärdade företaget ett pressmeddelande enligt vilket vissa av Sony Online Entertainment (SOE)-tjänsterna också har inaktiverats för underhåll på grund av möjliga kriminella aktiviteter i samband med den första attacken. Angripare kunde komma åt krypterad information om över 12 000 kreditkortsinnehavare och data från 24,7 miljoner SOE-användare. [17] [18] Under presskonferensen bad de högsta cheferna som svarade på frågor från reportrar inte bara verbalt om ursäkt, utan gjorde det i form av en ojigi . [19]
Den 4 maj publicerade Sony på PlayStation-bloggen företagets svar på det amerikanska representanthusets situationsutredning [20] och informerade huset om att företaget var offer för en noggrant planerad, mycket professionell och sofistikerad cyberattack. Bevis hittades på att den anonyma hackergruppen var inblandad i denna attack och läckan av användarnas personuppgifter bekräftades, men kreditkortsföretag rapporterade inte bedrägliga transaktioner relaterade till stulen data.
Den 6 maj tillkännagav Sony "de sista stadierna av intern testning" av den uppdaterade versionen av PlayStation Network. [21] Men företagets tjänstemän sa att de inte skulle kunna sätta tjänster online under den första veckan i maj, som tidigare utlovat, på grund av upptäckten av en ytterligare attack mot Sony Online Entertainment-servrar som man inte kände till. [22]
Från och med den 14 maj började PSN-tjänsterna komma tillbaka online med en regional uppdelning, med början i Nordamerika. [23] Samtidigt blev en ny firmwareversion 3.61 för PlayStation 3 tillgänglig. [24]
Den 16 maj tillkännagav Sony Online Entertainment officiellt återupptagandet av sina spelservrar och motsvarande återupptagande av MMO-spel som Everquest II , DC Universe Online och Free Realms . [25]
Den 18 maj inaktiverades lösenordsåterställningsfunktionen på SOE-tjänster på grund av en upptäckt sårbarhet som gjorde det möjligt att ändra lösenord från andras konton baserat på användarens e-postadress och födelsedatum. [26] [27]
Den 23 maj, på grund av driftstopp, förlorade företaget över 171 miljoner dollar. [28] Företagets totala förlust för räkenskapsåret förväntas bli 3,1 miljarder dollar (denna siffra inkluderar också företagets förluster från den största jordbävningen i japansk historia ) [29] .
Sony- aktier föll 5% på grund av PSN- hacket [30] . Den förväntade vinstminskningen från nästan två veckors otillgänglighet uppskattas av vissa utvecklare till 10 % [31] .
Capcoms senior vice president Christian Svensson skrev på företagets blogg att PSN -avstängningen kostar företaget hundratusentals dollar, om inte miljoner, i förlorad vinst som Capcom räknade med . Enligt honom var de förlorade intäkterna från försäljning av spel via PSN till följd av denna incident redan budgeterade, så frånvaron av dessa pengar kan påverka utvecklingen av nya spel negativt. [32] [33]
Namco talesman Katsuhiro Harada , som är producenten av Tekken-serien , sa i en intervju att PSN -avstängningen påverkade företagets arbete - företaget kunde inte släppa den planerade DLC :n för sina spel [34] .
SOCOM 4: US Navy Seals , som släpptes dagen innan PSN- avstängningen och exklusivt för Playstation 3 -konsolen , anses redan vara en flopp [32] .
Edge - webbplatsen publicerade en artikel som citerade representanter för olika spelbutiker i Storbritannien, enligt vilken det var en enorm ökning av försäljningen av begagnade PlayStation 3 -konsoler . Chefen för en stor brittisk återförsäljare säger: "Under den första veckan av PSNs otillgänglighet såg vi ingen förändring i antalet, från den andra veckan ser vi en 200% ökning av returnerade PlayStation 3 -konsoler . Hälften av de återvändande vill få betalt för dem, och hälften vill byta ut dem mot en Xbox 360. ” [35]
Den belgiska återförsäljaren Gameswap säger att det har skett en tydlig ökning av byten av konsoler från PlayStation 3 till Xbox 360 , men i alla dessa fall är personen som byter in sin konsol ett fan av Call of Duty-serien . "Vanligtvis i slutet av månaden tar folk in sina konsoler och vill ha pengar för att betala sina räkningar", säger han, "men den här gången tar folk in alla sina spel och vill byta ut sin konsol mot en Xbox 360 . Och varje gång är det ett fan av antingen Call of Duty: Modern Warfare 2 eller Call of Duty: Black Ops ." [36]
Rapporterade även om förändringar i förbeställningar . Förbeställningar för Playstation 3 -spel avbryts och återutges till samma spel, men för Xbox 360-konsolen [37] .
Den 6 maj 2011 publicerade den berömda internationella nyhetsbyrån Reuters en exklusiv artikel med titeln "Analysis: Sony woes may cause some to rethink cloud computing " . I den här artikeln har Reuters samlat åsikter och uttalanden från några experter inom internettjänster och onlinesäkerhet, och även analyserat de senaste trenderna på marknaden för molndatorer. Artikeln hävdar att PlayStation Network-hacket och avstängningen hade en stor inverkan på cloud computing -marknaden . En ytterligare påverkan var Amazon EC2- molntjänstavbrottet , som varade från 21 april till 25 april. Dessa händelser ledde till att många molnföretags aktier började falla, trots att de fram till denna punkt hade sett sin konstanta tillväxt. Specifikt sjönk Salesforce.com- aktien med 3 % och VMware- aktien med 2 %. Och detta hände mot bakgrund av en genomsnittlig ökning på 3,3 procent i Standard & Poor's 500 aktieindex under denna period. Det blev känt att många företag-kunder av internettjänster har ändrat sin syn på molnberäkning och till och med vägrat att använda den. [38] [39]
Professor Eric Johnson vid Dartmouth University , som ger råd till stora företag om utvecklingsstrategier inom datateknikområdet, sa att ingen som använder molntjänster är säker, och Sony är "bara toppen av isberget." [38] [39]
Murray Jennex , professor i informationssystem vid San Diego State University, sa: "Även tjänster som du tycker borde vara pålitliga, som att betala skatt online, kan vara farliga." [38] [39]
Säkerhetsanalytikern för molntjänster Jay Heiser noterade det negativa bidraget från skrupelfria marknadsförare till denna incident . Enligt honom har molnmarknadsförare "gjort ett bra jobb" för att ständigt försäkra sina kunder om att molnlösningar är pålitliga och säkra, när verkligheten är en helt annan. [38] [39]
Axis Technology President Mike Logan jämförde molntjänster med Facebook : "Om du lägger all viktig information där, gissa vad? Folk kommer att kunna se det." [38] [39]
Consumer Reports Elektronikredaktör Jeff Fox noterade att konsumenterna förväntar sig att stora företag som Sony tar dataskyddet på största allvar och professionellt . "Trots allt, även om företag som Sony inte skyddar sin data väl, vem skyddar den tillräckligt?" frågar Jeff Fox. [38] [39]
Cynthia Larose, en privat advokat på Mintz Levin , sa att för tillfället är molntjänstkunder vanligtvis inte tillräckligt skyddade från tjänsteavbrott eller säkerhetshål. LaRose tror att det kommer att ske viktiga förändringar inom cloud computing-branschen inom en snar framtid. Dessutom, enligt hennes uttalande, letar organisationer och företag inom hälso- och sjukvården och finansbranschen, som har en hel del immateriella rättigheter, redan efter särskilda försäkringsprogram som kommer att skydda dem från cyberbrottslingar. [38] [39]
Enligt Reuters möter många molntjänstleverantörer redan vid tidpunkten för artikelns publicering sina kunders önskan att förhandla fram nya kontrakt som inkluderar leverantörers ekonomiska ansvar för tjänstavbrott eller säkerhetsproblem. Ford Winslow , chief information officer på Abnology , tillhandahöll denna information , som också sa att de kontrakt som ingåtts med deras första kunder nu går ut efter en treårsperiod, och företagen vill fastställa ytterligare villkor för kontrakten, relaterade till olika katastrofer och tjänsteavbrott. [38] [39]
Den 26 april erkände företaget att personuppgifter från PSN-användare, inklusive kontonamn, lösenord, hem och e-postadress, kunde läcka. [40] Även om kreditkortsinformationen var krypterad fick användarna inte en varning med rekommendationer för att skydda personlig och finansiell information förrän en vecka senare, när den huvudsakliga distributionskanalen för sådan information - själva PSN-nätverket - inte var tillgänglig. [41]
Vissa experter föreslog att om hackningssituationen var så kritisk att det var nödvändigt att stänga av nätverket runt om i världen, borde Sony ha meddelat användare om en möjlig informationsstöld mycket tidigare än den 26 april. [42] Sådana åtgärder från företagets sida kan tyda på ett brott mot PCI DSS- säkerhetsstandarderna , som kräver omedelbar underrättelse till berörda parter om en möjlig kompromittering av data. USA:s senator Richard Blumenthal har begärt information från Sonys vd Jack Tretton om orsakerna till förseningen. [43] [44] [45] .
Svaret på sådana frågor till företaget var en publikation på PSN USA-bloggen , som förklarar att experter upptäckte stölden av personuppgifter först den 25 april 2011 under en detaljerad analys av händelsen, och det tog lite längre tid att ta reda på listan över data som angriparna fick tillgång till [46] .
Som nämnts har Sony Network Entertainment America, genom sin pågående utredning, inte kunnat avgöra med säkerhet om kreditkortsinformation har laddats ner från PlayStation Network. För annan personlig information vet vi att hackaren gjorde frågor till databasen och externa kriminaltekniska team observerade stora mängder information som överfördes som svar på dessa frågor. Våra utredningsteam har inte hittat förfrågningar och relaterade dataöverföringar relaterade till kreditkortsinformation.
Brittiska brottsbekämpande utredare ansåg att de skyddsåtgärder som vidtagits var otillfredsställande, eftersom angriparna lyckades få tillgång till användardatabasen. Som ett resultat av utredningen dömdes Sony till böter på 250 000 pund för att ha underlåtit att följa brittiska dataskyddslagar. [47]
Den 22 juli 2011 har Sony tagit emot 55 stämningar från individer och grupper av individer och kommer att ställas inför domstol. Företaget har också stämts av det stora försäkringsföretaget Zurich American , med påstående om att det inte ska hjälpa Sony ekonomiskt att betala för dessa fall enligt ett befintligt försäkringsavtal mellan företagen som endast betalar ut i händelse av fysisk skada på Sony-anställda [48] .
Den 26 april publicerades material om möjliga orsaker till PSN-hacket. Hemmagjord firmware för PlayStation 3 -konsolen låter dig komma in i nätverket genom att identifiera dig själv som en av utvecklarna, vilket i sin tur ger åtkomst till Sonys interna nätverk för utvecklare, och med enkla manipulationer kan du få full tillgång till alla nätverk innehåll [49] . Vid tiden för arbetet med att återställa nätverkets funktionsduglighet stängdes även åtkomst till PSN för utvecklare [50] .
Den 4 maj 2011, vid en utfrågning i den amerikanska kongressen, talade Sony-representanter, bland andra rapporter, i detalj om strukturen på servrar och skyddet av PlayStation Network, såväl som hackningsmekanismen som implementerats av hackare. Shinji Hasejima, Chief Information Officer för Sony, gav en illustration av PSN-strukturen och gav sin förklaring. [2]
PSN-strukturen består av tre nivåer, på den första av vilka det finns en webbserver , på den andra - en webbapplikationsserver och på den tredje - en databasserver , där PSN-användarnas personliga data faktiskt finns. Brandväggar installeras mellan dessa tre servrar, och endast den minsta mängd personlig information som krävs för auktorisering cirkulerar mellan dem. Med detta trelagersskydd var Sony övertygad om att det skulle vara absolut tillräckligt för alla intrång utifrån, eller åtminstone för tidig varning om en attack [2] .
Enligt Shinji Hasejima har Sony aldrig blivit attackerad så här tidigare. Hacket utfördes som en standardtransaktion , så det upptäcktes inte av någon brandvägg. "Vissa [mjukvara] kommandon skickades […] det var ett mycket skickligt och intelligent tillvägagångssätt […] det gjorde det möjligt att manipulera vårt nätverk utifrån. Så vi kunde inte upptäcka inbrottet från utsidan, säger Shinji Hasejima. Attacken beskrevs som mycket komplex och utfördes av en mycket välutbildad specialist. [2]
Av de tre servrarna som utgör PSN-nätverket var webbapplikationsservern den svagaste säkerhetsmässigt. "Vi antar att angriparna lyckades infiltrera systemet med hjälp av sårbarheter i webbapplikationsservern", sa Shinji Hasejima. Det antas att angriparna fick tillgång till databasservern genom att hacka webbapplikationsservern och köra otillåten kod på den. Det är därför Sony inte kan utesluta identitetsstöld: genom att få tillgång till databasen kan angripare extrahera all data som finns där. [2]
På grund av hacket exponerades kontouppgifterna för 77 miljoner PSN-användare för risken att bli stulen. Dessa uppgifter inkluderar, men är inte begränsade till, inloggningar , lösenord, säkerhetsfrågor och annan data. Enligt Sony var lösenorden hashade och kreditkortsnumren krypterade. [2]
Shinji Hasejima uppgav att sårbarheterna i PSN-systemet var kända för dem, men de gavs inte tillräcklig vikt. [2]
Shiro Kambe, senior vice president för Sony, erbjöd en tydlig ursäkt: "Vi trodde att vi hade tillräckligt med kontroll över systemet och skyddade det helt, men när vi ser tillbaka så fanns det utrymme för ytterligare förbättringar av skyddet. Vi måste erkänna att det nuvarande skyddet inte har varit tillräckligt." [2]
"Välkommen tillbaka"-programmet tillkännagavs av Sony den 1 maj 2011 för att kompensera användarna för den påtvingade avstängningen av PSN-nätverket och det resulterande besväret. [15] [16] Programmet gav tillgång till "utvalt PlayStation-underhållningsinnehåll", ett gratis 30-dagarsabonnemang på PlayStation Plus-tjänsten för alla PSN-användare (eller ytterligare 30 dagars prenumeration för befintliga PlayStation Plus-medlemmar). [16]
Streamingtjänsten Hulu TV , som även kan användas på PlayStation 3, kompenserade alla ägare av konsolen för oförmågan att använda tjänsten, vilket gav en veckas fri tillgång till Hulu Plus-tjänster. [51] [52]
Den 16 maj meddelade Sony att PSN-användare skulle kunna få två PlayStation 3- och PlayStation Portable-spel gratis från en lista som tillhandahålls av företaget. [53] [54] Spellistan var regionspecifik och var endast tillgänglig för länder som hade tillgång till PlayStation Store innan PSN stängdes av. [54]
| Spelet | Nordamerika [53] | Europa (utom Tyskland) [54] | Tyskland [54] | Asien [55] | Japan [56] |
|---|---|---|---|---|---|
| Wipeout HD/Fury | Ja | Ja | Ja | Ja | Ja |
| Liten stor planet | Ja | Ja | Ja | Inte | Inte |
| Ökänd | Ja | Ja | Inte | Inte | Inte |
| död nation | Ja | Ja | Inte | Inte | Inte |
| Super Stardust HD | Ja | Inte | Ja | Inte | Inte |
| Ratchet & Clank: Quest for Booty | Inte | Ja | Ja | Inte | Inte |
| Hustle Kings | Inte | Inte | Ja | Ja | Ja |
| Den siste killen | Inte | Inte | Inte | Ja | Ja |
| Soptunna | Inte | Inte | Inte | Ja | Inte |
| Kom igen, LocoRoco!! BuuBuu Cocoreccho | Inte | Inte | Inte | Ja | Ja |
| Echochrome: Ouvertyr | Inte | Inte | Inte | Inte | Ja |
| Spelet | Nordamerika [53] | Europa (utom Tyskland) [54] | Tyskland [54] | Asien [55] | Japan [56] |
|---|---|---|---|---|---|
| Liten stor planet | Ja | Ja | Ja | Ja | Ja |
| ModNation Racers | Ja | Ja | Ja | Ja | Inte |
| Förföljande kraft | Ja | Ja | Inte | Inte | Inte |
| Killzone: Liberation | Ja | Ja | Inte | Inte | Inte |
| Allas Golf 2 | Inte | Inte | Ja | Inte | Inte |
| Buzz Junior Jungle Party | Inte | Inte | Ja | Inte | Inte |
| Allas Stress Buster | Inte | Inte | Inte | Ja | Ja |
| Locoroco midnattskarneval | Inte | Inte | Inte | Ja | Ja |
| Patapon 2 | Inte | Inte | Inte | Inte | Ja |
| Vad gjorde jag för att förtjäna detta, min Herre? | Inte | Inte | Inte | Inte | Ja |
| PlayStation | ||||||||
|---|---|---|---|---|---|---|---|---|
| Spel konsoler |
| |||||||
| Spel |
| |||||||
| nätverk |
| |||||||
| Styrenheter |
| |||||||
| kameror | ||||||||
| Kit |
| |||||||
| Systemmjukvara |
| |||||||
| Media |
| |||||||
| Övrig |
| |||||||