PlayStation Networkin ( PSN ) hakkerointi ja sulkeminen on onnistunut luvaton pääsy PlayStation Networkin ja Qriocity Internet -palveluiden tietoihin 17.–19. huhtikuuta 2011, jolloin hyökkääjät pääsivät käsiksi käyttäjien henkilökohtaisiin tietoihin. (tuohon aikaan tiliä oli rekisteröity 77 miljoonaa) [1] . Vastauksena Sony esti pääsyn palveluihinsa , kun tunkeutuminen havaittiin (20. huhtikuuta 2011) järjestelmiinsä ja aloitti oman tutkimuksensa tapahtuneesta. Käyttäjien pääsy PSN :äänkunnostettu 15.5.2011. Pääsy PS Storeen on palautettu 2. kesäkuuta Pohjois-Amerikassa ja Euroopassa.
PSN-hakkeroinnin aikana sen verkossa rekisteröityjen tilien määrä oli 77 miljoonaa, mikä tekee tästä historian suurimman tapauksen (edellinen "ennätys" kuuluu TJX Companiesin hakkerointiin, joka vaikutti 45 miljoonaan käyttäjään). Monet viranomaiset ovat kuvanneet PSN-hakkerointia yhdeksi Internetin historian suurimmista hakkeroista, ja jotkut, erityisesti Develop [2] ja SkyNews [3] , kutsuivat tätä tapausta suurimmaksi luottamuksellisten tietojen vuotamiseksi koko Internetin historiassa. digitaalinen aikakausi. Monet resurssit, mukaan lukien The Daily Telegraph [4] ja Canadian Broadcasting Corporation [5] , ovat sisällyttäneet tämän tapahtuman historian viiden suurimman tietohyökkäyksen luetteloon.
On syytä huomata, että lopulta Yhdysvaltojen tuomioistuin hylkäsi kaikki käyttäjien Sonya vastaan esittämät vaatimukset, koska Playstation Networkin pääsy tarjotaan käyttäjille maksutta eikä Sony itse osallistunut järjestelmiensä hakkerointiin. [6] , mutta Kanadassa huhtikuussa 2013, tuomioistuin päätti uhrien hyväksi [7] .
Sony myönsi 20. huhtikuuta 2011 virallisessa blogissaan, että osa PlayStation Networkin toiminnoista oli poistettu käytöstä. Kun PlayStation 3 :n omistajat yrittivät kirjautua sisään PSN:ään, he saivat viestin, että verkkoa ylläpidetään. [8] [9]
Yhtiö ilmoitti myöhemmin "ulkopuolisista häiriöistä", jotka vaikuttivat PlayStation Network- ja Qriocity-palveluihin. [10] Sisäverkkoon tunkeutuminen tapahtui 17.-19. huhtikuuta. Sony sulki 20. huhtikuuta PlayStation Networkin ja Qriocityn maailmanlaajuisesti suojatoimenpiteenä. [11] 25. huhtikuuta Sonyn tiedottaja Patrick Seybold ilmoitti virallisessa blogissa, että palveluiden palautusprosessi kestää kauan ja tarkkaa palautumisaikaa ei tiedetä. [12] Sony myönsi myöhemmin, että laiton tunkeutuminen yrityksen sisäiseen verkkoon voisi vaarantaa käyttäjien henkilötiedot. [13]
Sony lähetti 28. huhtikuuta uuden version SDK :sta [14] PlayStation3-pelien kehittäjille .
Sony julkisti 1. toukokuuta "Welcome Back" -ohjelman kaikille käyttäjille, joita verkkokatkos vaikuttaa, ja ilmoitti myös arvioidun palautumispäivän - toukokuun ensimmäisen viikon. [15] [16]
Yhtiö julkaisi 2. toukokuuta lehdistötiedotteen, jonka mukaan myös osa Sony Online Entertainment (SOE) -palveluista on poistettu käytöstä ylläpitoa varten ensimmäiseen hyökkäykseen liittyvän mahdollisen rikollisen toiminnan vuoksi. Hyökkääjät pääsivät käsiksi salattuihin tietoihin yli 12 000 luottokortin haltijasta ja 24,7 miljoonan valtionyhtiön käyttäjän tiedoista. [17] [18] Lehdistötilaisuuden aikana toimittajien kysymyksiin vastanneet huippujohtajat eivät vain pyytäneet anteeksi suullisesti, vaan tekivät sen ojigin muodossa . [19]
Sony julkaisi 4. toukokuuta PlayStation-blogiin yrityksen vastauksen Yhdysvaltain edustajainhuoneen tilannetutkimukseen [20] , jossa kerrottiin, että yhtiö joutui huolellisesti suunnitellun, erittäin ammattimaisen ja hienostuneen kyberhyökkäyksen uhriksi. Todisteita löytyi Anonymous - hakkeriryhmän osallisuudesta tähän hyökkäykseen ja käyttäjien henkilötietojen vuoto vahvistettiin, mutta luottokorttiyhtiöt eivät ilmoittaneet varastettuihin tietoihin liittyvistä vilpillisistä tapahtumista.
Sony ilmoitti 6. toukokuuta PlayStation Networkin päivitetyn version "sisäisen testauksen viimeisistä vaiheista". [21] Yrityksen viranomaiset sanoivat kuitenkin, etteivät he pysty tuomaan palveluita verkkoon toukokuun ensimmäisellä viikolla, kuten aiemmin luvattiin, koska Sony Online Entertainment -palvelimia vastaan löydettiin lisähyökkäys, josta ei tiedetty. [22]
14. toukokuuta alkaen PSN-palvelut alkoivat palata verkkoon alueellisesti, alkaen Pohjois-Amerikasta. [23] Samaan aikaan PlayStation 3:lle tuli saataville uusi laiteohjelmistoversio 3.61. [24]
Sony Online Entertainment ilmoitti 16. toukokuuta virallisesti pelipalvelimiensa jatkamisesta ja vastaavasta MMO-pelien , kuten Everquest II , DC Universe Online ja Free Realms , jatkamisesta . [25]
18. toukokuuta salasanan palautustoiminto poistettiin SOE-palveluista, koska havaittiin haavoittuvuus, joka mahdollisti salasanojen vaihtamisen toisten ihmisten tileiltä käyttäjän sähköpostiosoitteen ja syntymäajan perusteella. [26] [27]
Toukokuun 23. päivänä yhtiö menetti yli 171 miljoonaa dollaria palveluseisokkien vuoksi. [28] Yrityksen tilikauden kokonaistappion odotetaan olevan 3,1 miljardia dollaria (tämä luku sisältää myös Japanin historian suurimman maanjäristyksen aiheuttamat tappiot ) [29] .
Sonyn osakkeet putosivat 5 % PSN -hakkeroinnin vuoksi [30] . Jotkin kehittäjät arvioivat, että odotettu voittojen pudotus lähes kahden viikon poissaolosta on 10 prosenttia [31] .
Capcomin varatoimitusjohtaja Christian Svensson kirjoitti yhtiön blogissa, että PSN : n sulkeminen maksaa yritykselle satoja tuhansia dollareita, ellei miljoonia, menetettyjä voittoja, joihin Capcom oli laskenut . Hänen mukaansa tämän tapauksen seurauksena PSN :n kautta saatujen pelien myyntitulojen menetys oli jo budjetoitu, joten näiden rahojen puuttuminen voi vaikuttaa negatiivisesti uusien pelien kehittämiseen. [32] [33]
Namcon tiedottaja Katsuhiro Harada , joka on Tekken-sarjan tuottaja , sanoi haastattelussa, että PSN :n sulkeminen vaikutti yrityksen työhön - yritys ei pystynyt julkaisemaan suunniteltua DLC :tä peleihinsä [34] .
SOCOM 4: US Navy Seals , joka julkaistiin päivää ennen PSN :n sulkemista ja joka on tarkoitettu vain Playstation 3 -konsoliin , katsotaan jo floppiksi [32] .
Edge - verkkosivusto julkaisi artikkelin, jossa viitattiin eri Britannian pelikauppojen edustajiin, joiden mukaan käytettyjen PlayStation 3 -konsolien myynti kasvoi valtavasti . Iso-Britannian suuren jälleenmyyjän johtaja sanoo: "Ensimmäisen viikon aikana, kun PSN ei ollut saatavilla, emme havainneet mitään muutosta numeroissa, toisesta viikosta lähtien näemme palautettujen PlayStation 3 -konsolien määrän lisääntyneen 200 % . Puolet paluumuuttajista haluaa saada niistä palkkaa ja puolet vaihtaa ne Xbox 360:een . [35]
Belgialainen jälleenmyyjä Gameswap sanoo, että PlayStation 3 :sta Xbox 360: een vaihdettujen konsolien määrä on selvästi lisääntynyt , mutta kaikissa näissä tapauksissa konsolinsa vaihtava henkilö on Call of Duty -sarjan fani . "Yleensä kuun lopussa ihmiset tuovat konsolinsa sisään ja haluavat rahaa vastineeksi maksaakseen laskunsa", hän sanoo, "mutta tällä kertaa ihmiset tuovat mukanaan kaikki pelinsä ja haluavat vaihtaa konsolinsa Xbox 360:een . Ja joka kerta, kun se on joko Call of Duty: Modern Warfare 2: n tai Call of Duty: Black Opsin fani ." [36]
Raportoitu myös muutoksista ennakkotilauksissa . Playstation 3 -pelien ennakkotilaukset peruutetaan ja julkaistaan uudelleen samoihin peleihin, mutta Xbox 360 -konsoliin [37] .
Kuuluisa kansainvälinen uutistoimisto Reuters julkaisi 6. toukokuuta 2011 eksklusiivisen artikkelin, jonka otsikkona on "Analysis: Sony-ongelmat saattavat saada jotkut harkitsemaan pilvilaskentaa uudelleen " . Tässä artikkelissa Reuters on koonnut joidenkin Internet-palveluiden ja verkkoturvallisuuden asiantuntijoiden mielipiteet ja lausunnot sekä analysoinut pilvipalvelumarkkinoiden viimeisimpiä trendejä. Artikkelissa väitetään, että PlayStation Networkin hakkerointi ja sulkeminen vaikuttivat merkittävästi pilvipalvelumarkkinoihin . Lisävaikutuksena oli Amazon EC2 -pilvipalveluseisokki , joka kesti 21. huhtikuuta - 25. huhtikuuta. Nämä tapahtumat johtivat siihen, että monien pilviyritysten osakkeet alkoivat laskea, vaikka ne olivat tähän asti nähneet jatkuvaa kasvuaan. Tarkemmin sanottuna Salesforce.comin osakkeet putosivat 3 % ja VMwaren osakkeet 2 %. Ja tämä tapahtui Standard & Poor's 500 -osakeindeksin keskimääräisen 3,3 prosentin nousun taustalla tänä aikana. Tuli tunnetuksi, että monet Internet-palveluiden yritykset-asiakkaat ovat muuttaneet näkemyksiään pilvipalveluista ja jopa kieltäytyneet käyttämästä sitä. [38] [39]
Dartmouthin yliopiston professori Eric Johnson , joka neuvoo suuria yrityksiä tietotekniikan kehitysstrategioissa, sanoi, ettei kukaan pilvipalveluita käyttävä ole turvassa ja Sony on "vain jäävuoren huippu". [38] [39]
San Diegon osavaltion yliopiston tietojärjestelmien professori Murray Jennex sanoi: "Jopa palvelut, joiden uskotte olevan luotettavia, kuten verojen maksaminen verkossa, voivat olla vaarallisia." [38] [39]
Pilvipalveluiden tietoturva-analyytikko Jay Heiser huomautti häikäilemättömien markkinoijien negatiivisen vaikutuksen tähän tapaukseen . Hänen mukaansa pilvimarkkinoijat ovat "tekeneet hienoa työtä" jatkuvasti vakuuttaessaan asiakkailleen pilviratkaisujen luotettavuudesta ja turvallisuudesta, vaikka todellisuus on aivan toisenlainen. [38] [39]
Axis Technologyn johtaja Mike Logan vertasi pilvipalveluita Facebookiin : "Jos laitat kaikki tärkeät tiedot sinne, arvaa mitä? Ihmiset voivat nähdä sen." [38] [39]
Consumer Reports Electronics - toimittaja Jeff Fox huomautti , että kuluttajat odottavat Sonyn kaltaisten suurten yritysten ottavan tietosuojan erittäin vakavasti ja ammattimaisesti . "Loppujen lopuksi, vaikka Sonyn kaltaiset yritykset eivät suojaa tietojaan hyvin, kuka suojaa niitä tarpeeksi?" kysyy Jeff Fox. [38] [39]
Mintz Levinin yksityinen asianajaja Cynthia Larose sanoi, että tällä hetkellä pilvipalveluasiakkaat eivät yleensä ole tarpeeksi suojattuja palvelun seisokkeilta tai tietoturva-aukoilta. LaRose uskoo, että lähitulevaisuudessa on tulossa merkittäviä muutoksia pilvipalvelualalla. Hänen lausunnon mukaan myös terveydenhuollon ja rahoitusalan organisaatiot ja yritykset, joilla on paljon immateriaaliomaisuutta, etsivät jo erityisiä vakuutusohjelmia, jotka suojaavat heitä kyberrikollisilta. [38] [39]
Reutersin mukaan monet pilvipalveluntarjoajat kohtaavat jo artikkelin julkaisuhetkellä asiakkaidensa toiveen neuvotella uusia sopimuksia, jotka sisältävät palveluntarjoajien taloudellisen vastuun palveluhäiriöistä tai tietoturvakysymyksistä. Tiedot antoi Abnologyn tietojohtaja Ford Winslow , joka sanoi myös, että heidän ensimmäisten asiakkaidensa kanssa tehdyt sopimukset ovat nyt päättymässä kolmen vuoden jakson jälkeen ja yritykset haluavat sopia sopimuksiin lisäehtoja, liittyen erilaisiin katastrofeihin ja palvelukatkoihin. [38] [39]
Yhtiö myönsi 26. huhtikuuta, että PSN-käyttäjien henkilötiedot, kuten tilinimi, salasana, koti- ja sähköpostiosoite, saattoivat vuotaa. [40] Vaikka luottokorttitiedot oli salattu, käyttäjät saivat varoituksen, joka sisältää suosituksia henkilökohtaisten ja taloudellisten tietojen suojaamisesta, vasta viikkoa myöhemmin, jolloin tällaisten tietojen pääjakelukanava - itse PSN-verkko - ei ollut käytettävissä. [41]
Jotkut asiantuntijat ehdottivat, että jos hakkerointitilanne oli niin kriittinen, että verkko oli sammutettava ympäri maailmaa, Sonyn olisi pitänyt ilmoittaa käyttäjille mahdollisesta tietovarkaudesta paljon aikaisemmin kuin 26. huhtikuuta. [42] Tällaiset yrityksen toimet voivat viitata PCI DSS -turvastandardien rikkomiseen , mikä edellyttää välitöntä ilmoitusta asianomaisille osapuolille mahdollisesta tietojen vaarantumisesta. Yhdysvaltain senaattori Richard Blumenthal on pyytänyt Sonyn toimitusjohtajalta Jack Trettonilta tietoja viivästymisen syistä. [43] [44] [45] .
Vastaus tällaisiin kysymyksiin yritykselle oli julkaisu PSN USA -blogissa , jossa selitetään, että asiantuntijat havaitsivat henkilötietojen varkauden tosiasian vasta 25. huhtikuuta 2011 tapahtuman yksityiskohtaisen analyysin aikana, ja kesti vielä jonkin aikaa ennen kuin se tapahtui. selvittää luettelo tiedoista, joihin hyökkääjät pääsivät [46] .
Kuten todettiin, Sony Network Entertainment America ei ole meneillään olevan tutkimuksensa kautta pystynyt määrittämään varmasti, onko luottokorttitietoja ladattu PlayStation Networkista. Muista henkilökohtaisista tiedoista tiedämme, että hakkeri teki kyselyitä tietokantaan, ja ulkopuoliset rikostekniset ryhmät havaitsivat suuria määriä tietoja, jotka välitettiin vastauksena näihin kyselyihin. Tutkintaryhmämme eivät ole löytäneet luottokorttitietoihin liittyviä pyyntöjä ja niihin liittyviä tiedonsiirtoja.
Brittiläiset lainvalvontatutkijat pitivät suojatoimenpiteitä epätyydyttävänä, koska hyökkääjät pääsivät käsiksi käyttäjätietokantaan. Tutkinnan tuloksena Sony sai 250 000 punnan sakon, koska se ei noudattanut Britannian tietosuojalakeja. [47]
22. heinäkuuta 2011 mennessä Sony on vastaanottanut 55 kannetta yksittäisiltä henkilöiltä ja henkilöryhmiltä, ja se tulee oikeuteen. Myös suuri vakuutusyhtiö Zurich American on haastanut yrityksen oikeuteen väittäen, että sen ei pitäisi taloudellisesti auttaa Sonya maksamaan näitä tapauksia yhtiöiden välisen olemassa olevan vakuutussopimuksen perusteella, joka maksaa vain Sonyn työntekijöiden fyysisen vamman [48] .
26. huhtikuuta julkaistiin materiaalia PSN-hakkeroinnin mahdollisista syistä. Kotitekoinen laiteohjelmisto PlayStation 3 -konsoliin mahdollistaa pääsyn verkkoon tunnistamalla itsesi yhdeksi kehittäjistä, mikä puolestaan antaa kehittäjille pääsyn Sonyn sisäiseen verkkoon, ja yksinkertaisilla manipuloinneilla saat täyden pääsyn kaikkiin verkkoihin. sisältö [49] . Verkon toimivuuden palauttamisen aikana pääsy PSN :ään oli myös suljettu kehittäjiltä [50] .
4. toukokuuta 2011 Yhdysvaltain kongressissa pidetyssä kuulemistilaisuudessa Sonyn edustajat puhuivat muun muassa yksityiskohtaisesti palvelinrakenteesta ja PlayStation Networkin suojauksesta sekä hakkereiden toteuttamasta hakkerointimekanismista. Shinji Hasejima, Sonyn Chief Information Officer, antoi kuvan PSN-rakenteesta ja selitti. [2]
PSN-rakenne koostuu kolmesta tasosta, joista ensimmäisellä on web-palvelin , toisella - web-sovelluspalvelin ja kolmannella - tietokantapalvelin , jossa PSN-käyttäjien henkilötiedot todella sijaitsevat. Palomuurit asennetaan näiden kolmen palvelimen välille, ja niiden välillä liikkuu vain vähimmäismäärä valtuutukseen vaadittavia henkilötietoja. Tämän kolmikerroksisen suojauksen ansiosta Sony luotti siihen, että se riittäisi täysin ulkopuolelta tapahtuvaan tunkeutumiseen tai ainakin varoittamaan hyökkäyksestä [2] .
Shinji Hasejiman mukaan Sonya ei ole koskaan aiemmin hyökätty tällä tavalla. Hakkerointi suoritettiin tavallisena tapahtumana , joten mikään palomuuri ei havainnut sitä. ”Tietyt [ohjelmisto]komennot lähetettiin […] se oli erittäin taitava ja älykäs lähestymistapa […] se mahdollisti verkkomme manipuloinnin ulkopuolelta. Emme siis pystyneet havaitsemaan murtautumista ulkopuolelta", Shinji Hasejima sanoi. Hyökkäystä kuvailtiin erittäin monimutkaiseksi, ja sen toteutti erittäin korkeasti koulutettu asiantuntija. [2]
Kolmesta PSN-verkon muodostavasta palvelimesta verkkosovelluspalvelin oli tietoturvallisesti heikoin. "Oletamme, että hyökkääjät onnistuivat tunkeutumaan järjestelmään käyttämällä verkkosovelluspalvelimen haavoittuvuuksia", sanoi Shinji Hasejima. Oletetaan, että hyökkääjät pääsivät tietokantapalvelimeen hakkeroimalla verkkosovelluspalvelimen ja suorittamalla siinä luvatonta koodia. Tästä syystä Sony ei voi sulkea pois identiteettivarkauksia: pääsemällä tietokantaan hyökkääjät voivat poimia kaikki siellä olevat tiedot. [2]
Hakkeroinnin vuoksi 77 miljoonan PSN-käyttäjän tilitiedot altistettiin varastetuksi. Näitä tietoja ovat muun muassa kirjautumistunnukset , salasanat, turvakysymykset ja muut tiedot. Sonyn mukaan salasanat tiivistettiin ja luottokorttien numerot salattiin. [2]
Shinji Hasejima totesi, että PSN-järjestelmän haavoittuvuudet olivat heille tiedossa, mutta niille ei annettu asianmukaista painoarvoa. [2]
Shiro Kambe, Sonyn varatoimitusjohtaja, pyysi selkeää anteeksipyyntöä: "Luulimme, että meillä oli tarpeeksi hallintaa järjestelmään ja suojasimme sen täysin, mutta taaksepäin katsottuna suojassa oli vielä parantamisen varaa. Meidän on myönnettävä, että nykyinen suoja ei ole riittänyt." [2]
Sony julkisti "Welcome Back" -ohjelman 1. toukokuuta 2011 korvatakseen käyttäjille PSN-verkon pakotetun sulkemisen ja siitä aiheutuvan haitan. [15] [16] Ohjelma tarjosi pääsyn "valittuun PlayStation-viihdesisältöön", ilmaisen 30 päivän tilauksen PlayStation Plus -palveluun kaikille PSN-käyttäjille (tai 30 päivän lisätilauksen nykyisille PlayStation Plus -jäsenille). [16]
Hulu TV -suoratoistopalvelu , jota voi käyttää myös PlayStation 3:lla, korvasi kaikille konsolin omistajille kyvyttömyydestä käyttää palvelua tarjoamalla viikon ilmaisen pääsyn Hulu Plus -palveluihin. [51] [52]
Sony ilmoitti 16. toukokuuta, että PSN-käyttäjät voivat saada kaksi PlayStation 3- ja PlayStation Portable -peliä ilmaiseksi yrityksen toimittamasta luettelosta. [53] [54] Peliluettelo oli aluekohtainen ja oli saatavilla vain maille, joilla oli pääsy PlayStation Storeen ennen PSN:n sulkemista. [54]
Luettelo PS3-peleistä alueittain| Peli | Pohjois-Amerikka [53] | Eurooppa (paitsi Saksa) [54] | Saksa [54] | Aasia [55] | Japani [56] |
|---|---|---|---|---|---|
| Wipeout HD/Fury | Joo | Joo | Joo | Joo | Joo |
| Pieni suuri planeetta | Joo | Joo | Joo | Ei | Ei |
| Surullisen kuuluisa | Joo | Joo | Ei | Ei | Ei |
| kuollut kansakunta | Joo | Joo | Ei | Ei | Ei |
| Super Stardust HD | Joo | Ei | Joo | Ei | Ei |
| Ratchet & Clank: Quest for Booty | Ei | Joo | Joo | Ei | Ei |
| Hustle Kings | Ei | Ei | Joo | Joo | Joo |
| Viimeinen kaveri | Ei | Ei | Ei | Joo | Joo |
| Roskalaatikko | Ei | Ei | Ei | Joo | Ei |
| Tule, LocoRoco!! BuuBuu Cocoreccho | Ei | Ei | Ei | Joo | Joo |
| Echochrome: Alkusoitto | Ei | Ei | Ei | Ei | Joo |
| Peli | Pohjois-Amerikka [53] | Eurooppa (paitsi Saksa) [54] | Saksa [54] | Aasia [55] | Japani [56] |
|---|---|---|---|---|---|
| Pieni suuri planeetta | Joo | Joo | Joo | Joo | Joo |
| ModNation Racers | Joo | Joo | Joo | Joo | Ei |
| Pursuit Force | Joo | Joo | Ei | Ei | Ei |
| Killzone: vapautuminen | Joo | Joo | Ei | Ei | Ei |
| Kaikkien golf 2 | Ei | Ei | Joo | Ei | Ei |
| Buzz Junior Jungle Party | Ei | Ei | Joo | Ei | Ei |
| Kaikkien stressinpoistajia | Ei | Ei | Ei | Joo | Joo |
| Locoroco Midnight Carnival | Ei | Ei | Ei | Joo | Joo |
| Patapon 2 | Ei | Ei | Ei | Ei | Joo |
| Mitä tein ansaitakseni tämän, Herrani? | Ei | Ei | Ei | Ei | Joo |
| Peli asema | ||||||||
|---|---|---|---|---|---|---|---|---|
| Pelikonsolit |
| |||||||
| Pelit |
| |||||||
| verkkoon |
| |||||||
| Ohjaimet |
| |||||||
| kamerat | ||||||||
| Sarjat |
| |||||||
| Järjestelmäohjelmisto |
| |||||||
| Media |
| |||||||
| Muut |
| |||||||