Nawet 100 milionów kont użytkowników Sony mogło dostać się w ręce hakerów

Artykuł
06.05.2011
3 min. czytania
Tekst

2 maja przedstawiciele koncernu Sony oficjalnie poinformowali, że miał miejsce atak na serwery Sony Online Entertainment (z którego sieci korzystają gracze wieloosobowych gier sieciowych, takich jak EverQuest, Star Wars Galaxies czy Matrix Online), w efekcie którego mogło dojść do przejęcia informacji o ponad 24 milionach klientów. Informacje o ataku na SOE ujawniono w 24 godziny po tym, jak rzecznicy firmy przepraszali za utratę informacji o 77 milionach kont w sieci Play Station Network (utraconych prawdopodobnie 16 lub 17 kwietnia). Łącznie, szacuje się, że ponad 100 milionów kont klientów firmy mogło paść ofiarą hakerów. Skala ataku naturalnie prowokuje pytania o bezpieczeństwo naszych danych gromadzonych przez podmioty komercyjne.

Portal internetowy Niebezpiecznik.pl podaje, że hakerzy uzyskali dostęp do następujących danych: imienia i nazwiska, adresu (miasto, kod, kraj), adresu e-mail, płci, daty urodzenia, numeru telefonu, loginu i hash hasła.

Portal wskazuje także, że „dodatkowo, intruzi weszli w posiadanie 12 700 numerów kart kredytowych/debetowych wraz z ich datą ważności. Sony wspomina także o możliwości wykradzenia 10 700 numerów kont bankowych i innych szczegółów rachunku należących do Niemców, Austriaków, Holendrów i Hiszpanów”.

Wcześniej odkryty atak na Play Station Network, spowodował utratę nieco innych danych. Według informacji z cytowanego już portalu, hakerzy zyskali dostęp do następujących danych: imienia, daty urodzenia, adresu e-mail, adresu (miasto, kod pocztowy, kraj), loginu i hasła. Co więcej: „Sony przyznaje, że atakujący mogą być również w posiadaniu historii zakupów, adresu płatnika (tzw. billing address) oraz odpowiedzi na pytanie służące do odzyskiwania konta w przypadku zapomnienia hasła do PSN. Ciągle nie ma potwierdzenia, że przestępcy weszli w posiadanie danych kart kredytowych skojarzonych z kontami PSN, ale Sony ostrzega przed możliwością phishingu i prosi o monitorowanie wyciągów z kart kredytowych”.

Łącznie, atak na obie sieci mógł spowodować przejęcie prawie 100 milionów kont użytkowników produktów Sony.

Według informacji opublikowanych przez Dziennik Internautów, jedną z przyczyn ataku mogła być niefrasobliwość koncernu w zabezpieczaniu danych użytkowników. Sony przez wiele miesięcy nie aktualizowało oprogramowania na części serwerów, na które się włamano: „Jak zauważa ekspert zajmujący się bezpieczeństwem internetowym Gene Spafford, Sony używało starej wersji oprogramowania Apache, które było <<niezaktualizowane i nie miało wgranego firewalla>>. Dodatkowo Spafford podkreśla, że o luce informowano już kilka miesięcy temu na forum, które jest monitorowane przez pracowników Sony”.

Kontrowersje budzi jednak nie tylko krótkowzroczność Sony w zakresie procedur bezpieczeństwa, ale także postawa firmy. Koncern rozpoczął współpracę z FBI, ale jednocześnie odmówił osobistego stawiennictwa przedstawicieli firmy na wysłuchaniu w Kongresie USA. Brytyjski Guardian informuje natomiast, że Sony zdecydowało się oficjalnie odpowiedzieć na pytania Kongresu o ochronę danych użytkowników. W liście od Kongresu USA, firma obarczyła odpowiedzialnością za atak grupę hakerów używających nazwy Anonymus, jednak na blogu „Anonimowych” szybko opublikowano stanowisko zaprzeczające oskarżeniom Sony.

Utrata danych ponad 100 milionów kont wywołała zróżnicowane reakcje. Wiele osób zwraca uwagę na błędy popełnione przez Sony. Jeden z członków forum Guardiana stawia sprawę nawet bardziej radykalnie, oskarżając koncern o produkowanie i dystrybucję niskiej jakości oprogramowania podatnego na ataki hakerów. Redakcja Comnputerworlda skomentowała natomiast cała sprawę następująco: „Sony po raz kolejny wyraziło ubolewanie w związku z zaistniałym incydentem. Wiadomo już jednak, że same przeprosiny nie wystarczą, a proces odbudowywania nadszarpniętej reputacji koncernu będzie długotrwały i żmudny. Z drugiej strony, nie zapominajmy, że to cyberprzestępcy stoją za włamaniami i to ich w pierwszej kolejności należy ukarać”.

Bez wątpienia, utrata danych przez Sony ponownie prowokuje do pytań, na ile bezpieczne są nasze dane, zbierane (za naszą zgodą lub nie) przez podmioty komercyjne oraz do zastanowienia się nad procedurami bezpieczeństwa i ochrony prywatności w tym zakresie.

Jakub Grzegorczyk

Temat

Newsletter

Otrzymuj informacje o działalności Fundacji

Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje danejakie jeszcze prawa ci przysługują, w Polityce prywatności.