Sony:對不起,你的 PSN 個資被盜了

Sony:對不起,你的 PSN 個資被盜了

打電動精選】4月20日,Sony Computer Entertainment(以下簡稱SCE)表示因為受到來自於外部的駭客攻擊,暫時停止PlayStation Network(以下簡稱PSN)服務,並宣稱需要「1到2天」的時間恢復服務。但直到4月27日為止,SCE都沒有恢復相關服務,直到4月26日 SCE 宣布PSN無限期停機時,才承認駭客事件的問題比想像中嚴重。

Sony 承認個資遭到洩漏

根據SCE指出,4月19日開始,他們發現PSN的系統遭到外部的入侵,並注意到使用者的資料「可能」被下載。SCE立即在4月20日關閉PSN的 服務,他們對外說明「PSN只需要關閉1到2天即可恢復」、「我們尚未確認使用者資料是否外洩,但不排除有這個可能」,接著他們召集外部的專家一同會商, 並對PSN進行全面檢驗。

Sony:對不起,你的 PSN 個資被盜了
▲ 亞洲 PSN 的繁體中文官方聲明。(圖片來源:PlayStation Asia

「直到星期一,我們才知道事情這麼嚴重。」SCE在台灣時間4月27日早晨承認。他們在4月26日表示PSN將會無限期關閉直到問題修復,但這時他們已經關機超過5天,遠超過原本預計「1到2天」的關閉時間,且在事件經過7天後才承認使用者資料被盜。今早 PlayStation 亞洲區官方網站也貼出中文版官方聲明,請PSN使用者注意自己的帳戶以及信用卡單據,等於間接承認使用者的信用卡資料已經洩漏。

改機者發現的重大漏洞

2011年2月中,一位PS3使用者曾在討論 PS3 破解的論壇上,發表他使用自製韌體(Custom Firmware,CFW)上PSN的心得,如果你要透過自製韌體登入PSN,勢必得欺騙PSN上的保護與檢查機制。有人在研究如何繞過檢查機制時發現,PSN並未透過再加密的方式傳送個人資料,這很容易讓人在傳輸過程中被攔截到個人資料;但也有人反駁,再加密只需要在伺服器上進行即可,因此PSN上儲存的資料應該已經進行過再加密的動作。

Sony:對不起,你的 PSN 個資被盜了
▲ 在PSN上的信用卡資料看來凶多吉少。(圖片來源:arstechnica.com

一般來說,像信用卡號碼這類非常重要的使用者個資,應該都在你輸入資料之後,將信用卡號碼用演算法加密之後,才會將已經加密過後的信用卡資料儲存在伺服器上,就算駭客成功下載了信用卡資料,也只會看到一堆經過加密的數字。當然,將機密資料透過再加密的動作保存在伺服器上是件基本的事情,但使用者擔心個資沒有透過層層加密保護,也是很正常的反應。尤其在經歷這次的駭客事件後,這個問題更需要受到使用者的重視。

美參議員表示SCE應當負責

由於PSN的使用者數量龐大,包括信用卡在內的個資一旦遭到洩漏,很可能引發一連串問題。SCE應該早就知道個資外洩的情況有多嚴重,但在數天的「調查期間」中,他們缺乏與使用者的緊密聯繫,對於外界的質疑都是以「可能」、「我們不確定」以及「正在調查中」等含糊用語帶過。

針對SCE的處理方式,美國康乃狄克州議員理查‧布魯門索爾(Richard Blumenthal)發出一封信給美國SCE總裁Jack Tretton,以尖銳的口氣質疑SCE在處理此事件中的態度。

Sony:對不起,你的 PSN 個資被盜了
▲  這位參議員搞不好也是 PS3 玩家。(圖片來源:IGN

「在事件發生後Sony並未立即與可能受到影響的客戶聯繫,令我感到相當不滿。」信中表示「這種廣大的網路服務可能牽涉到許多個人隱私資料,還包括至關重大的財務資料,當這些資料遭到竊取時,消費者應當有權利立即知道他們的個人資料發生了什麼事情。」

布魯門索爾參議員建議在此事件後,SCE應該要提供兩年免費的PSN服務,當然,費用要由SCE自己負擔。你可以在布魯門索爾參議員的官方網站找到信件全文。

亡羊補牢,關閉PSN進行全面升級

PSN遭逢史上最嚴重的駭客攻擊事件後,許多人都將此事件與Anonymous駭客集團對Sony的警告連在一起。之前在Geohot破解PS3事件中,Anonymous駭客集團就曾經對Sony提出警告,指稱他們控告Geohot的行為違反人權自由,將透過駭客攻擊癱瘓PSN藉以「懲罰」 SCE,不過目前還沒有證據顯示Anonymous集團涉案。

不管幕後的黑手是誰,現在SCE正在進行亡羊補牢的工作,利用這段關機時間全面提升PSN的安全性。Xbox Live(以下簡稱XBL)這次並未遭到駭客的毒手,因此許多XBL使用者與PSN使用者在論壇上對安全問題針鋒相對,許多XBL使用者甚至尖銳地諷刺 SCE的防駭能力太差勁,讓許多PSN使用者為之氣結。

Sony:對不起,你的 PSN 個資被盜了
▲ 正式宣布 PSN 個資遭竊後,Sony的股票立即下跌。(圖片來源:日本經濟新聞

不過每個人都應該知道:這個世界沒有100%安全的系統。SCE這次最大的問題就是沒有第一時間承認自己的錯誤,而是含糊其詞將問題帶過,直到事情難以掩蓋才將問題公開。想要粉飾太平是SCE在這次事件所犯的最大錯誤,而不是PSN的防護系統被駭客入侵。

【延伸閱讀】PSN駭客事件,SCE恐付天價賠償金

不可說教主
使用 Facebook 留言
2606a9dcf3356535744e51b6f11c0f65?size=48&default=wavatar
4人給推

1.  PSN禁斷症候群發作的K (發表於 2011年4月27日 19:39)
說實在,我覺得那些駭客實在很中二...
當PSP或是PS3被破解,MD5甚至是Cell內硬體寫入GoldKey被攻陷時,你會做甚麼?相信大家都心裡有數了...
根據統計,在破解之後,高達90%的利用方式是執行盜版軟體或是映像檔,只有10%是執行特殊的UNIX系統,像是USAF的超級計算群或是知名的F@home╯-__-)╯ ╩╩
我可以問心無愧,從我學習電腦至今的十幾個年頭,我從沒有用過任何非法軟體,連遊戲主機都乖乖的買片子,就算我有PS2.PS3.PSP.XBOX360這麼多主機,我還是買正版
對於一個大型公司而言,利益至上,就算你在硬體上撈再多錢,看到軟體被盜爽爽會爆走吧?
對於一個駭客而言,或許破解各種系統是一種驗證自己能力與獲取快感的方法(我得承認,攻破防火牆進入水利署的中央水閘系統終端機時超有趣的...),但是你也該考慮一下,你的成就會造成甚麼後果
黑客不算是駭客,他們會盜取資料與癱瘓網路(這包含426那邊的國家網軍),他們一樣會入侵系統,但是他們僅會留下提示指出漏洞,不會帶走任何東西,駭客應該是正面的存在,
就算你破解PS3是種成就,或許你並沒有發布這個Patch或是破解檔,但是當你的成就造成大企業的損失,而讓你陷入危機時,你應該劃清界線而不是極力辯解(好吧,這挺難拿捏的),你破解並不是要獲利,而是成就,這樣就好,真的!
但你們沒有,你們想[大企業是邪惡的...他們妨礙軟體自由!迫害我們!破壞網路自由!我們要反抗!],於是你們反擊,結果呢?
哼...DDos之流的攻擊傾巢而出,你們打贏了,解果卻是我們大眾來承擔,這算甚麼...
不可說教主
2人給推

2.  不可說教主 (發表於 2011年4月27日 20:47)
很棒的論點,到最終所謂的正義如果結果是善良的大眾必須承擔,那還能叫做正義嗎?
Ffe597842f915bc0aab0f07c0b647e93?size=48&default=wavatar
1人給推

4.  邱睪 (發表於 2011年4月27日 22:16)
的確呢...
暴民跟革命志士也只有一線之隔阿...
E0a190604dc3dd2ee7b66bb95c20ef7f?size=48&default=wavatar
1人給推

5.  哈哈哈 (發表於 2011年4月27日 23:09)
哈哈哈
加油唷
駭客才是王道╮(╯_╰)╭
防毒公司=病毒公司
不然怎麼賺你的錢呀
認清事實好嗎╮(╯_╰)╭
ㄚˇ平
6.  ㄚˇ平 (發表於 2011年4月27日 23:47)
※ 引述《哈哈哈》的留言:
> 哈哈哈
> 加油唷
> 駭客才是王道╮(╯_╰)╭
> 防毒公司=病毒公司
> 不然怎麼賺你的錢呀
> 認清事實好嗎╮(╯_╰)╭

推這句!是駭客不是黑客唷!
2606a9dcf3356535744e51b6f11c0f65?size=48&default=wavatar
2人給推

7.  PSN禁斷症候群發作的K (發表於 2011年4月28日 00:25)
※ 引述《ㄚˇ平》的留言:
> ※ 引述《哈哈哈》的留言:
> > 認清事實好嗎╮(╯_╰)╭
> 推這句!是駭客不是黑客唷!
(; ̄ェ ̄)
不好意思啊,我可從來沒有中毒過,因為我不削Foxy、FlashGet還有迅雷之類的軟體,我支持正品
我在文中也強調過,駭客非黑客,我質疑的是為何只為了他們與索尼的戰爭,我們老百姓,正版使用者也中槍

我好幾天沒辦法使用PSN已經感覺很差了,在看到這一則新聞的同時,銀行告知我被刷了400鎂,這....
12345678
9.  12345678 (發表於 2011年4月28日 10:20)
※ 引述《PSN禁斷症候群發作的K》的留言:
> ※ 引述《ㄚˇ平》的留言:
> > ※ 引述《哈哈哈》的留言:
> > > 認清事實好嗎╮(╯_╰)╭
> > 推這句!是駭客不是黑客唷!
> (; ̄ェ ̄)
> 不好意思啊,我可從來沒有中毒過,因為我不削Foxy、FlashGet還有迅雷之類的軟體,我支持正品
> 我在文中也強調過,駭客非黑客,我質疑的是為何只為了他們與索尼的戰爭,我們老百姓,正版使用者也中槍
>
> 我好幾天沒辦法使用PSN已經感覺很差了,在看到這一則新聞的同時,銀行告知我被刷了400鎂,這....

您真是社會中的清流阿~~~敬佩敬佩(⊙ˍ⊙)
不可說教主
10.  不可說教主 (發表於 2011年4月28日 10:46)
※ 引述《PSN禁斷症候群發作的K》的留言:
> (; ̄ェ ̄)
> 不好意思啊,我可從來沒有中毒過,因為我不削Foxy、FlashGet還有迅雷之類的軟體,我支持正品
> 我在文中也強調過,駭客非黑客,我質疑的是為何只為了他們與索尼的戰爭,我們老百姓,正版使用者也中槍
>
> 我好幾天沒辦法使用PSN已經感覺很差了,在看到這一則新聞的同時,銀行告知我被刷了400鎂,這....

換卡吧!很多銀行好像都已經知道這個事件了,因為這個問題而要求換卡的人不少。

如果還有什麼問題的話可以打0809-079-888 (台灣)的服務電話,問問看他們的狀況如何。
ㄚˇ平
11.  ㄚˇ平 (發表於 2011年4月28日 12:58)
To 7樓:
完全同意阿,我跟你一樣也沒下載、也支持正版、智慧財產權
(來個Give me five!)
我推的意思是,我推有品的「電腦高手」,不推盜取機密、把使用者當活靶的黑帽駭客。
關於信用卡,請自立自強吧,SONY看樣子已經忙得不可開交了,我也只能精神上的支持你。

願正義與你同在。
7a66a926b01b4bfde40c4ae83e6b9d14?size=48&default=wavatar
12.  koei (發表於 2011年4月28日 22:02)
真的很慶幸當初沒買PS3...不然就換我信用卡資料外洩了...
南無(合掌)
發表回應
謹慎發言,尊重彼此。按此展開留言規則