Packázott a Sony: kínos és röhejes következmények
Felhasználók millióinak személyes és banki adatai kerültek tolvajok kezébe, de ennek ellenére a Sony továbbra sem fordít elegendő figyelmet az internetes biztonságra. Hogyan játszotta el a Sony vásárlói bizalmát, és tud-e válságkezelő intézkedéseivel fordítani a kockán?
Van, hogy a valóság a legmerészebb összeesküvés-elméleteket is felülmúlja. Amikor a Sony PlayStation játékkonzoljaihoz tartozó online szolgáltatás, a PlayStation Network (PSN) idén április 20-án leállt, még nem sejthettük, hogy megtörtént a világtörténelem egyik legnagyobb adatlopása. A cég azzal nyugtatta a felhasználókat, hogy tervezett karbantartásról van szó. A PSN azonban sem másnap, sem harmadnap nem indult újra, és nyomban vad hírek kezdtek terjedni. A Sony csak egy héttel később ismerte be, hogy ismeretlen bűnözők hozzájutottak az összes PSN-felhasználó személyes adataihoz! A történtekből a cégvezetés szemlátomást nem tanult, további óvintézkedéseik is hatástalanok maradtak. Lássuk, mi történt egészen pontosan!
(Forrás: Wikimedia Commons / Michel Ngilen)
Előre nem látható okok
A PSN 2011 április 20-án vált elérhetetlenné – a rendszergazdák ekkor vették észre a megdöbbentő méretű betörés nyomait, és nehogy még nagyobb baj történjen, nyomban leállítottak mindent. A Sony ekkor még nem jelentette be az adatlopás tényét, csak annyit közölt, hogy karbantartás miatt előreláthatólag egy-két napos szolgáltatáskimaradás várható. Másnap a Sony kurtán-furcsán jelezte, hogy „külső behatolás” történt. Mégis majdnem egy hét telt el addig, amíg a japán cég beismerte a teljes igazságot és nyilvánosságra hozta, hogy az összes felhasználói adat a tolvajok kezére jutott.
Mi azt ajánljuk olvasóinknak, hogy amikor csak lehet, használjanak boltban megvásárolható feltöltőkártyát, így nem kell megadni a banki adatokat az interneten. Az összes nagy játékkonzol-gyártónak van ilyen terméke.
A sajtóközlemény nyomán emberek sokasága kényszerült bankkártyáját letiltatni: mivel a PSN-en vásárolni is lehetett, így a rendszer banki adatokat is rögzített! Május másodikán pedig arra is fény derült, hogy a Sony más internetes szolgáltatásaitól is kikerültek adatok. Így még 24,6 millióan kezdhettek aggódni, vásárolnak-e bűnözők a kontójuk terhére.
Az eset igen kevés pozitívumának egyike, hogy a Sony nem próbálta kétségbeesetten eltüntetni a korábbi nyilatkozatokat a webről. Így viszont könnyen rájuk bizonyítható a szándékos félrevezetés! A cég vezetését még az amerikai kongresszus is számonkérte – mikortól tudták, hogy támadás érte őket? A Sonynak be kellett ismernie, hogy már 19-én észrevették, hogy ismeretlenek feltörték a PSN-t, és a következő napon felfedezték azt is, hogy adatok kerültek ki a rendszerből. Az amerikai szövetségi nyomozóhivatalt 22-én értesítették, épp csak a saját felhasználóiknak nem szóltak...
Minket is érintett
Teltek-múltak a hetek, a PSN pedig továbbra sem indult újra. Az előbb mérges, majd a helyzetbe egyre inkább beletörődő felhasználók nem tudtak egymással online játszani. Akadt néhány olyan játék is, ami a speciális másolásvédelem miatt internet-kapcsolat hiányában egyáltalán nem volt futtatható! A letölthető programokat pedig nem lehetett letölteni – a PlayStationre szoftvert fejlesztő cégek pénzügyesei valószínűleg egy emberként tépték a hajukat, hogyan küzdjenek meg a váratlan bevételkieséssel.
Azt gondolnánk, Magyarországon kevésbé érintette a vásárlókat a kiesés, de ez nem teljesen igaz! Az online videokölcsönzés és hasonló extraszolgáltatások többsége hazánkban valóban nem elérhető. Mivel a gyenge magyar támogatás miatt kevés fajta bankkártyát fogad el a rendszer (a miénket sem), a többség valószínűleg eddig is inkább feltöltőkártyát használt. Ettől azért még a PSN-felhasználók e-mail-címei, lakcímadatai ugyanúgy kikerültek a cégtől – sőt mint hamarosan látni fogjuk, jelenleg sem tudja senki, pontosan kik jutottak az érzékeny adatokhoz.
(Forrás: Wikimedia Commons / Truflip99)
Önkritikát gyakoroltak
A PSN május 15-én indult újra, de szinte azonnal megint le kellett állítani rövid időre a rendszert! A minden felhasználó számára kötelező jelszóváltoztatás olyan módszerrel működött, ami az ellopott adatok ismeretében könnyen kijátszhatónak bizonyult.
Több fontos funkció még jó ideig elérhetetlen maradt: nem üzemelt például az online játékvásárlás sem. Amikor végre-valahára sikerült az internetes boltot újra működésbe hozni, mindenki letölthetett magának két ingyen játékot kárpótlásul, de meglehetősen kevés cím közül lehetett választani, és azok is régebbiek voltak. Ha valaki a nagy leállás óta nem használta a PSN-t, igyekezzen, mert ez a meglehetősen szűkkeblű ajánlat is csak július elejéig él!
Még cikkünk írásának időpontjában is olvashatóak voltak itt-ott szolgáltatáskimaradással kapcsolatos figyelmeztetések, pedig a Sony azt ígérte, június 5-ére, az E3 nemzetközi játékkiállítás idejére minden visszatér a régi kerékvágásba. Mindenki azt várta, szintén az E3-on, a Sony megszokott évi nagy sajtótájékoztatóján jön a nagy bocsánatkérés. A fórumokon a dühödt felhasználók már a „hagyományos japán módszer”-t emlegették.
(Forrás: Wikimedia commons / Utagava Kunikazu fametszete)
A Sony amerikai vezérigazgatójának, Jack Trettonnek azonban esze ágában sem volt a hasát felmetszeni. A színpadra lépve elnézést kért a szolgáltatás kényszerű szüneteltetéséért és az „okozott izgalmakért”, de magáról az adatlopásról egy szót sem ejtett. Mintha az lett volna a legnagyobb probléma, hogy néhány hétig nem lehetett játszani! Tretton ez alkalommal gondosan ügyelt minden egyes szavára, pedig korábban tett már néhány elhíresült kijelentést: például a konkurens Nintendo Wii-t nyalókához hasonlította, a Nintendo legújabb kézikonzoljáról, a 3DS-ről pedig egyszerűen annyit mondott, hogy „magára adó felnőtt nem mutatkozik vele nyilvánosan”.
Amíg a Sony az E3-on szórakoztatta az újságírókat, a támadások háborítatlanul folytatódtak...
Szívküldi szívnek szívesen
Egy frissen feltűnt hackercsoport, a Lulz Security (magyarul kb. Röhej Biztonság) szabályos hadjáratot indított a japán cég ellen „a poén kedvéért”. Rögtön az E3 előtt több Sony weblapot is feltörtek, és újabb felhasználói adatok tömkelegéhez jutottak, sőt emellett még több millió ajándékkupon kódját is megszerezték. A Sony szégyenére rendkívül egyszerű módszerekkel sikerült behatolniuk.
Érdekes, hogy a Lulz Security tagjai a nagy rivális Nintendónál is próbálkoztak, és valóban találtak biztonsági rést, de nem sikerült érzékeny adatokat szerezniük, sőt a Nintendo hamar kijavította a hibát. A hackerek cserébe szívecskét küldtek nekik Twitteren.
Kinek jött jól?
Habár a legújabb támadások a Lulz Security nevéhez fűződnek, továbbra sem tudni, hogy magát a nagy adatlopást kik hajtották végre! Mindenesetre gyanúsított több is akad. A Sony az elmúlt években mindent megtett, hogy magára haragítsa nemcsak a hackereket, hanem az egyszeri felhasználókat is: a kalózmásolatok elleni harcban rendre olyan eszközökhöz nyúltak, amelyeknek leginkább a jóhiszemű vásárlók szenvedték kárát.
A legdurvább lépés talán az volt, amikor a Sony zeneműkiadójának újabb CD-jei PC-be helyezve olyan másolásvédelmet telepítettek, amely átvette a Windows operációs rendszer felett az uralmat, és akár súlyos károkat is okozhatott. Amikor pedig a közelmúltban felmerült, hogy a PlayStation 3-ra telepíthető Linux operációs rendszer segítségével ki lehetne játszani a játékok másolásvédelmét, a Sony egyszerűen letiltotta a Linux-telepítési lehetőséget! Egy lelkes fiatal hacker, George Hotz alias Geohot visszaállította a hiányzó opciót, mire a multicég beperelte. Az affér végül peren kívüli megegyezéssel zárult; valószínűleg a Sonynak sem állt érdekében, hogy a kisemberek meghurcolójaként tekintsenek rá. De lehet, hogy elkéstek...
(Forrás: Wikimedia commons / George Hotz)
Hotz tagadja, hogy bármi köze lett volna az adatlopáshoz, de elképzelhető, hogy felhergelt hackerek törtek be a PSN rendszerébe, hogy bosszút álljanak a Sony-n a történtekért. Az ideológiai indíttatás mellett szólhat, hogy egyelőre úgy tűnik, az ellopott személyes adatokkal nem éltek vissza.
A másik, rosszabb forgatókönyv szerint bankkártya-adatokra utazó online bűnözők követték el a betörést, és jól jött nekik, hogy másokra kenhetik a balhét. A Sony-nál is nyilatkoztak hasonlót: amikor bizonyítékok hiányában nem tudták közvetlenül hibáztatni Geohot elvtársait, azzal álltak elő, hogy „a hackerek lefoglalták a rendszergazdák figyelmét”, és eközben az igazi bűnözők akadálytalanul be tudtak hatolni.
Mi ezt az érvelést nem igazán tudjuk elfogadni: ha a Sony szakemberei azzal voltak elfoglalva, hogy biztonságosabbá tegyék a rendszert, ettől miért vált volna kevésbé biztonságossá? Sőt mint a Lulz Security bebizonyította, a Sony még a sajnálatos események után sem törődött azzal, hogy legalább minimális szinten megvédje a felhasználók adatait! A multicég ehelyett inkább azzal próbálkozott, hogy a fórumokon megnyilvánuló haragot különböző hackercsoportok felé irányítsa. Az igazi tettes eközben valószínűleg nevetett a markába.
Tőlünk ezért ma a harcban álló felek közül inkább a Lulz-csapat kapna szívecskét – még úgy is, hogy bizonyítékként ők maguk tették fel az internetre az általuk elért adatokat, amivel rögtön megnyitották az utat további visszaélések előtt. (A hatóságok máris nyomoznak: ez a dolguk.) Az továbbra is rejtély, kik hajtották végre az eredeti bűncselekményt, a ködösítő Sony előtt pedig hosszú munka áll, hogy visszanyerje a bizalmunkat. Ehhez nem lesz elég néhány ingyen játék...
(Forrás: Wikimedia Commons / Wapcaplet, Dake)
További olvasnivalók
Sony másolásvédelmi botrány és PSN szolgáltatáskimaradás szócikkek az angol Wikipédián
Így lehet az ingyen játékokhoz hozzájutni (csak a korábban regisztrált felhasználóknak!)
A Lulz Security által feltört oldalak
Kérdezzen ön is bármit a Lulz Security-től! Regisztráció nem szükséges, a válaszok komolyságáért felelősséget nem vállalunk.
Azóta már újabb trófeákkal gyarapodott a LulzSec: EVE Online, Minecraft, Escapist Magazine stb. Sőt: egy napra leoltották a CIA nyilvános weboldalát is.