索尼与黑客的较量
作者:暂无
来源:《检察风云》 2011年第11期
    文/彭永清
    2011年4月17日,日本索尼公司旗下子公司、游戏机和游戏软件开发、制造与贩售商—一索尼电脑娱乐公司(Sony Computer EntertainmentInc,简称为SCE)称,该公司专为游戏机提供在线服务的“PlayStation Network”(简称PSN)和电影音乐服务系统“Qriocity”的登录用户信息被泄漏。26日,热门网游“PlayStation3(PS3)”称由于其服务器被黑客非法侵入,导致网民个人信息外泄。一时间,这起影响到约60个国家在线用户的情报外泄事件令世界I T业大为震惊。索尼公司在与黑客的较量中暂时败下阵来。到底谁是窃秘者?
    泄漏原因是由于第三者非法登录。从4月17日至19日,攻击者非法登录SCE的系统,将已经注册的PNS和Qriocity用户的个人资料盗走。虽说用户个人信息从企业系统中泄漏出去的事件并不稀奇,但是这次泄漏
    事件与其他事性质大不相同,因为其泄漏的个人信息数量可能是一个天文数字。
    尽管SC E并不能确认目前为止的具体泄漏数量,但从最坏的结果来看,利用这些服务的约7700万(北美3600万人、欧洲3200万人、包括日本在内的亚洲900万人)个人用户的资料可能已经被泄密。SCE公司称,尽管这7700万用户并非全部通过信用卡登录,但如果大部分用户的个人信息已经泄漏的话,这将是有史以来最严重的“信用卡信息泄漏事件”。
    从过去的案例来看,通过病毒入侵的方式来盗取用户个人信息的方法较为普遍。此次事件之前最为严重的一次泄密事件是2005年6月美国信用卡情报处理公司  “CardSystems Solutions”大约4000万张信用卡信患被人盗取并泄漏。
    事件发生后不久,SCE-些负责人就对美国媒体说明了信用卡信息是如何泄漏出去的。据称,政击者可能是利用某个软件的漏洞,通过病毒侵入“CardSystemsSolutions”公司的情报系统,从而获取了用户秘密资料。这种通过病毒入侵电脑系统的方法被称为高级持续性威胁(APT, Advanced Persistent Threats的简称)。
    不过,确定非法入侵者要比确认非法入侵手段更难。如果不清楚作案手法的话,要确认罪犯就难上加难了。但一些专家列举出一个特定的集团为犯罪“嫌疑人’——Anonymous集团。这是一个由网络用户构成的黑客集团,其具体身份不明。该集团所做的是一些诸如准备攻击某些特定企业和组织的网站等的“抗议活动”。例如,它会通过大量数据来向攻击对象的网站输送病毒,并使其网站无法正常工作。
    与其说Anonymous是一个固定的集团,还不如说它是“活动”的组织。除了主要成员外,其他人员似乎并不固定。通常,由主要成员决定攻击对象并召集其他人员参与攻击。人员聚齐后,由他们利用专门的病毒对指定网站进行攻击,直到将其攻瘫。201 0年,Anonymous支持泄密网站“WikiLeaks”,不仅在网上公开了美国外交电文,而且还对已经停止向其提供服务的PayPal、Visa和Master信用卡等网站进行攻击。
    另外,Anonymous在2010—2011年突尼斯t爆发的民主化运动“茉莉花革命”中也表现得非常活跃。由于反对突尼斯:政府的信息管制,Anonymous不仅对政府网站予以攻击,还篡改政府网站主页,发表革命宣言书。2011年1至2月埃及发生反政府运动之际,Anonymous出于对埃及政府限制言论自由的政策不满,也对政府及穆巴拉克总统的网站进行了攻击。
    4月,SC E公司也成了Anonymous的攻击目标。起因是SCE在美国的法人起诉Anonymous-位技术人员。SCE公司法人称该技术人员破解了PS3游戏的玩法并将之公布于网上,并于201 1年1月将其起诉,告其侵犯著作权。随即,Anonymous向SCE发出“宣战布告”。尽管SCE与该技术人员于3月底和解,但Anonymous仍然于4月对PSN网站发起攻击,使用户无法登录的时间长达20分钟,而且还出现了20分钟的混乱状态。
    由于Anonymous屡次出现这种攻击门户网站的情况,因此PSN和“Qriocity”用户信息外泄事件一出现,
人们就怀疑这很可能又是Anonymous所为。不过,4月24日Anonymous发表公开言论,宣称此次非法登录事件与之无关。实际上,此次非法登录事件的手法与此前Anonymous对网站进行攻击的手法大不相同。迄今为止,Anonymous的攻击几乎是通过众多用户向网站发送大量数据致网站无法正常运行的手法,并非以窃取个人信息为目的。因此,有人认为,尽管Anonymous有可能间接地参加了此次行动,但它是此次攻击行动主谋的可能能性极低。
    另一种说法是黑客说。今年刚开始,索尼就与黑客集团展开了暗战,这说明其声称的较为安全的游戏机发送服务和网络服务的脆弱怕性。
    事实上,许多人都被家庭用游戏机构成的网络比电脑网络更安全的“常识”所蒙蔽。由于电脑技术是公开的,要改变和侵入电脑系统非常容易,而各公司利用其固有技术开发的游戏机品种繁多且不公开,因此攻击难度也更大。但是,此次事件令人意外地看到了它们脆弱的—面。
电脑自带数据库管理系统吗
    在在线游戏世界中,利用病毒等盗取信用卡账号的现象频频发生。但是,由于让家庭游戏机中毒需要非常复杂的操作程序,因此个人情报很难被窃取。而且,通过专用硬盘使用户只局限于玩游戏的程度上,因此整个服务系统的安全性也可以得到保证。而对于电脑用户的在线游戏,被盗的卡号往往会变为他人所用。但是,—旦非法使用PSN,硬盘(游戏机)也将可能永远不能使用PSN。因此,PSN系统对非法入侵还是具有一定的抑制能力。此次信息泄漏事件由于是黑客非法入侵管理用户的数据库并将其外
泄所致,所以,尽管PSN系统可以抑制来自外部的多个硬盘的入侵,但既然服务器这层防护墙被攻破,管理系统也就毫无防御作用可言了。美国苹果和微软公司尽管都向用户提供网络服务,但两公司都是从最基本的软件进行开发,可见其保密意识极高。许多IT界精英都怀疑说:“难道索尼基本软件的安全性有问题吗?”
    索尼态度遭质疑
    遭到质疑的不仅仅是索尼公司基本软件的安全性。索尼公司在事发—周后才公布具体情况的态度,不仅遭到用户的强烈谴责,而且还导致美国众议院议员向索尼公司提交了质疑书。或许在丰田汽车索赔事件之后,索尼公司也将步其后尘。两场商业丑闻加在一起,甚至有可能引发政治问题。
    从20日起,用户就无法登录PSN和“Qriocity”的系统,于是,网站遭到黑客攻击的传言立刻流传到网上。但是,索尼通过告知用户情报外泄却过了一个多星期,这遭到网民的强烈批评。一位从PSNI购买了10多套游戏软件的30岁男性称,“(将个人信息)公布在网上的恶劣行径令人恐惧。让我不敢马上使用这些游戏软件。”
    据称,SCE公司的主打游戏机PS3目前在全球的销量超过了5000万台。而个人f言息外泄无疑对这些用户是巨大打击。
    27日,东京秋叶原一位游戏玩家甚至不敢相信事情是真的,他表示“个人信息如果被人恶意利用,后果不堪设想”。一位前来购物的干叶县市川市的19岁大学生松井也对此感到担心,他说:“两三天以前听朋友说‘不要上网’,当时我还认为是谣言。现在才知道果真如此。”松井于两年前购买了一台PSKI游戏机,并很快通过网络登录,并每月从网络下载软件更新—次游戏。他说:“由于该款游戏机具有许多新功能,朋友们都在用。希望尽早恢复其安全性。”东京都品川区无业人员田口正雄(22岁)摇头说,我还以为“PS3的保密性能非常高”,“尽管这次事件对我没有造成什么损失,但网络恶搞行为令人恐怖。我都不想再玩游戏了”
    数量最多的美国用户对此次个人信患被曝光事件非常气愤。要知道,在美国许多人哪怕是小到3~5美元的生活必需品都使用信用卡,因此对信用卡的安全管理特别敏感,更何况是个人信息被泄漏出去。因此,索尼此次可谓是捅了一个‘马蜂窝”,不仅让美国用户对其产生不信任,而且还无法预知问题将如何处理才能令这些用户满意。
    处理丰田大规模召回事件的美国众议院能源商业委员会事发后立即向索尼公司递交了质询疑书。据负责递交质疑书的宣传官员称,“我们不能忽视数百万美国消费者对自己信用卡信息被窃取的担忧。”同时,美方要求索尼公司尽J决给予答复。而与美国议会表现不同的是,康涅狄格州司法部长杰普森深表担忧,他说:“我对索尼公司采取对策的有效性感到怀疑。”另外,一些用户由于个人信息处理发生问题也向法院起诉索尼公司。一时间,索尼公司成为众矢之的,如果其对策稍有不慎,不仅将对其在北美这
个几乎占其总销售额1/4的巨大市场的利益产生直接的影响,而且还可能因受害者人数巨大造成世界范围的“脱离索尼”后果。
    熟知网络犯罪的甲南大学法学研究生院教授园田寿指出,“企业一旦保存如此数量的个人信息,又出现此次事件—样的问题,那它的声誉将无法挽回。”索尼公司在处理紧急事态时表现出来的态度,令人想到东京电力公司在处理核电站事故时的表现。赔偿高达2万亿日元
    个人信息外泄、应急时的糟糕表现,不仅令索尼公司备受指责,而且还要承担巨额赔偿,可谓一波未平,—波又起。据美国《华尔街日报》称,索尼公司不仅要为此次“历史上最为恶劣的情报泄露事件”付出超过2万亿日元的高昂代价,而且还不可避免地被追究经营责任,它将面临前所未有的危机。
    日本约有900万名在线用户,此次信息外泄对日本企业来说是过去以来最大的,其赔偿金额也将数字巨大。据称,被外泄的个人信息包括姓名、住址、邮箱账号、生日和密码等。SCE公司称,“不排除”个人信用卡账号和有效期限外泄的可能性,并呼吁网民就信用卡的使用经历进行“定期确认’。
    研究IT犯罪的纪藤正树博士指出,“损害赔偿额因泄漏情报的价值而改变。住址和电话号码、卡号等基本情报的泄漏,每人可以得到5000至10000日元的赔偿,但泄漏的信息关乎个人名誉的话,赔偿金额就会成倍增加。”纪藤还说:“日本的美容相关企业如果出现赔偿事件,每位受害者平均可得到30000日元的赔偿,如果按照这个标准来赔偿的话,索尼公司可能要向所有用户赔付总共2万亿日元以上。”
    受害者以美国用户居多。4月27日,美国一居住在阿拉巴马州的男性用户向加利弗尼亚州法院起诉SCE公司。该男性称,索尼公司在对用户个人信息保密上疏于管理,要求索尼公司赔偿并无偿对其信用卡账号进行调查。同时他还说,索尼公司没有及时向用户传达情报,使用户无法变更卡号并避免信息外泄,需要承担完全责任。他同时呼吁用户起来进行集团诉讼,并要求索尼公司作出赔偿。
    尽管在美国这个‘诉讼国家’起诉,索尼公司可能要支付更多的赔偿金,但纪藤说:“在美国,与个人信息泄漏相关的损害赔偿请求并不多。”但是,据一位IT负责人说,即使美国方面没有提出诉讼请求,包括道歉等在内的事后处理费用也不是个小数目,仅简单计算—_下,平均每位登录者“至少需要5000日元”,也就是说,索尼公司将为近7700万名用户支付高达4000亿日元的赔款。另外,IT记者井上年行指出,可能还有出现其他方式的赔偿。他说:“停止在线游戏服务,(用户)使用虚拟货币无法挽救数据时,恐怕会向服务方提出赔偿请求。”

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。