Зламана PlayStation Network варто вже дев'яту добу. Що вкрали у користувачів?

Скандал, що вибухнув у зв'язку з перебоями в роботі хмарного сервісу Amazon.com ліг порівняно швидко. Його використовують безліч корпоративних клієнтів і можливі збитки від майже дводобового простою вже оцінюється в сотні мільйонів доларів, але характер збою (внутрішня помилка) і оперативні дії персоналу запобігли розповзання проблеми (докладніше див. «Буря в хмарі Amazon ...»). А ось власникові і клієнтам іншого великого хмароподібний сервісу пощастило менше. Медіамережа Sony PlayStation Network, яка налічує понад сімдесят мільйонів користувачів по всьому світу, «лягла» 20 квітня і не працює до цих пір.

PlayStation Network (назва часто скорочують до PSN) з'явилася в 2006 році як офіційний набір інтернет-сервісів від Sony і її партнерів для власників ігрових консолей PS3 і PSP. Реєстрація в мережі безкоштовна, але більшість послуг виявляються на оплатній основі: тут можна організувати Мультипла і похвалитися ігровими трофеями, придбати і завантажити ігри, музику, фільми і відеоконтент.

Sony по праву пишається своїм дітищем, адже популярність PSN продовжує зростати стрімко навіть через п'ять років з дня пуску. Всього за три місяці з початку поточного року армія передплатників збільшилася з 60 до 77 мільйонів чоловік (порівняйте з конкуруючої сіткою Xbox Live, за вісім років існування набрала вдвічі меншу аудиторію). Половина з них проживає в Північній Америці, інша розподілена по 60 країнам (в основному ЄС і Японія; Росія теж підключена ).

Історія PSN пам'ятає короткі відключення, але блекаут, що трапився 20 квітня і тягнеться до цього дня, не має прецедентів. Минулої середи користувачі медіамережі вперше побачили замість стандартного віконця входу короткий повідомлення про що ведуться ремонтні роботи. Наступні два дні публіка і ігрова преса висували одну здогадку за іншою, а Sony зберігала вперте мовчання.

Напередодні уїк-енду, коли стало ясно, що починають мережу швидко не вдасться, компанія скупо зізналася, що причиною відключення стала атака зловмисників. Несанкціоноване проникнення в систему почалося 17 числа і було виявлено 19 квітня, після чого хакерам дали ще добу, мабуть, щоб проявити себе в той час, як за їх діями вже спостерігали найняті фахівці з кібербезпеки. На відміну від амазоновского хмари, PSN, а з нею і дружній музичний сервіс Sony Qriocity були виведені в оффлайн примусово, щоб полегшити розслідування.

Скандал, що вибухнув у зв'язку з перебоями в роботі хмарного сервісу Amazon

PlayStation Network - гордість Sony і її надія: в найближчому майбутньому компанія має намір тісно пов'язати PSN зі своїми портативними консолями і, можливо, ігрофонів.

Аж до 26 квітня (!) Sony ухилялася від більш докладних коментарів. Але врешті-решт була змушена розкрити справжні масштаби події і визнати факт витоку конфіденційних відомостей про користувачів мережі. Зломщикам стали доступні і, очевидно, були винесені за межі мережі імена, дати народження, логіни і паролі до PSN-сервісів, онлайнові ідентифікатори, історії покупок, відповіді на секретні питання (дублікат пароля) значної частини клієнтів PSN.

Чи вдалося викрасти номери кредитних карт достовірно невідомо, але Sony пропонує вважати, що вони були викрадені і рекомендує клієнтам проявляти пильність: відстежувати операції по картах, з обережністю ставитися до будь-яких запитів, що надійшли нібито з боку самої компанії і т.д. Що стосується PSN, зараз йде її перебудова з метою підвищення захищеності і Sony обіцяє повернути мережу в лад протягом тижня.

Реакція Веб на відключення PlayStation Network була двоетапної. Перша хвиля невдоволення, виплеснувся в твіти та блогах, містила головним чином скарги рядових користувачів, які залишилися без улюбленої іграшки на вихідні. Однак після розкриття подробиць злому пристрасті виплеснулися і на сторінки найбільших видань.

До теперішнього моменту кількість інтернет-публікацій, присвячених інциденту, перевалило за чотири тисячі. Рідко яка подія удостоюється такої пильної уваги. Але дивуватися нічому: злом PSN став свого роду яскравою, живою ілюстрацією однієї з найактуальніших проблем Мережі - витоку персональних даних.

згідно останніми опитуваннями (The Ponemon Institute, ThreatMetrix) дев'ять з десяти інтернет-користувачів турбує перспектива стати жертвою онлайн-шахраїв. Визначення «шахрайства в Мережі» досить широке і включає безліч різноманітних неприємностей, від спаму і горезвісної крадіжки особистості до викрадення номера кредитної карти і зіткнення з прийомами соціальної інженерії. Погана новина в тому, що проникнення зловмисників в будь-яку сучасну ІТ-систему - як правило, містить модні соціальні елементи - забезпечує їх всіма необхідними відомостями для проведення всіх шахрайських операцій.

Знання прихованих від сторонніх очей даних - дня народження, якихось деталей з біографії, переваг в іграх і споживаних ресурсах - дозволяє організувати хитромудрі шахрайські атаки на клієнтів скомпрометованого ресурсу, заради грошей або викрадення ще більш важливих конфіденційних відомостей. А адже PlayStation Network зібрана з тих же «цеглинок», що складають фундамент незліченної безлічі більш дрібних корпоративних мереж і систем по всьому світу.

Намагаючись оцінити збиток для Sony, аналітики називають сильно різняться суми, але сходяться в одному: страшніше за все не останов PSN, а витік інформації про клієнтів. Власне тиждень або дві втраченого часу обійдуться корпорації в кілька десятків мільйонів доларів (Zwillnger Genetsky). Але ось в залежності від того, як використовують викрадені відомості зломщики, підсумковий рахунок може вирости в десятки і сотні разів.

Навіть за найскромнішими прикидками, заснованим на середньому збиток від злому корпоративних ІТ-систем в минулому році (Ponemon Institute), кожен клієнт може обійтися Sony в 20 і більше доларів США (компенсації, штрафи, судові позови), що виведе загальну суму збитків в дев'ятизначну область. Є й аспекти, які поки оцінити в грошовому еквіваленті неможливо. Наприклад, той факт, що серед клієнтів PSN багато неповнолітніх, може відгукнутися через їх батьків, в очах яких імідж ігрової мережі вже є незворотнім зіпсований.

Наприклад, той факт, що серед клієнтів PSN багато неповнолітніх, може відгукнутися через їх батьків, в очах яких імідж ігрової мережі вже є незворотнім зіпсований

Серед безлічі відгуків на останов PSN були і позитивні: принаймні дітки відірвалися від екранів!

Що ще гірше, власника PSN підозрюють в наплювацьке ставлення до захисту конфіденційних відомостей про своїх клієнтів. Як вдалося хакерам тягнути паролі, якщо стандартна ІТ-практика передбачає зберігання їх в зашифрованому вигляді? Про що думало керівництво компанії, затягуючи майже на тиждень оповіщення клієнтів про крадіжку персональних даних? Відповісти на ці та інші незручні запитання Sony належить в самий найближчий час: влада США і ряду європейських країн вже направили компанії різного роду офіційні запити, а десь і організували своє розслідування.

Якщо з'ясується, що Sony не подбала належним чином про приватності своїх клієнтів (законодавчо оформлене вимога в ЄС і США), її можуть обкласти ще й мільйонними штрафами. Але як і в будь-якому іншому випадку розкрадання конфіденційних відомостей, користувачі PlayStation Network тепер змушені самостійно задуматися про те, як захистити себе від можливих негативних наслідків.

У найвигіднішому становищі опинилися клієнти з США: там політики вже вимагають від Sony оплатити дворічне надання докладної історії за операціями з кредитними картами і надати страховку на випадок фінансових неприємностей через крадіжки особистих даних. І навіть якщо компанія відмовиться піти на поступки, у власників можливо скомпрометованих карток є інші засоби протидії (зокрема, вони можуть попросити банк посилити процедуру ідентифікації особистості при запиті грошових коштів).

У Росії нетривіальною процедурою є навіть опротестування явно шахрайського платежу, тому вітчизняним користувачам PSN залишається тільки перевипустити карти за свій рахунок.

Між іншим надійшло звістка про перший судовий позов проти Sony. Американець Крістофер Джонс звинувачує компанію в тому, що вона не проявила належну турботу про довірених їй конфіденційних даних, а коли вони були викрадені, ще й тягнула з повідомленням клієнтів.

Як вдалося хакерам тягнути паролі, якщо стандартна ІТ-практика передбачає зберігання їх в зашифрованому вигляді?
Про що думало керівництво компанії, затягуючи майже на тиждень оповіщення клієнтів про крадіжку персональних даних?
Навигация сайта
Новости
Реклама
Панель управления
Информация