Výpadek sítě PlayStation 2011 - 2011 PlayStation Network outage

Logo PlayStation Network.png

2011 PlayStation Network výpadek (někdy označované jako PSN Hack ) byl výsledkem „ vnějšímu vniknutí “ na Sony ‚s PlayStation Network a Qriocity služeb, ve které osobní údaje ze zhruba 77 milionů účtů byla ohrožena a zabránit uživatelům z PlayStation 3 a PlayStation Portable konzolám přístup k této službě. K útoku došlo mezi 17. dubnem a 19. dubnem 2011 a společnost Sony byla 20. dubna nucena vypnout síť PlayStation Network. 4. května Sony potvrdila, že byly odhaleny osobně identifikovatelné informace z každého ze 77 milionů účtů. Výpadek trval 23 dní.

V době výpadku šlo o 77 milionů registrovaných účtů PlayStation Network a šlo o jedno z největších porušení zabezpečení dat v historii. Překonal hack TJX z roku 2007, který zasáhl 45 milionů zákazníků. Vládní úředníci v různých zemích vyjádřili znepokojení nad krádeží a týdenním zpožděním Sony před varováním svých uživatelů.

Společnost Sony 26. dubna uvedla, že se pokouší spustit online služby „do týdne“. 14. května vydala společnost Sony jako bezpečnostní opravu firmware verze 3.61 pro PlayStation 3 . Firmware vyžadoval, aby si uživatelé při přihlášení změnili heslo ke svému účtu. V době, kdy byl firmware vydán, byla síť stále offline. Regionální obnovu oznámil Kazuo Hirai ve videu od Sony. Když se služba vrátila online, byla sdílena mapa regionální obnovy a síť v USA.

Časová osa výpadku

20. dubna 2011 společnost Sony uznala, že na oficiálním blogu PlayStation Blog „věděla, že některé funkce sítě PlayStation Network“ jsou nefunkční. Při pokusu o přihlášení prostřednictvím systému PlayStation 3 uživatelé obdrželi zprávu s oznámením, že síť „prochází údržbou“. Následující den společnost Sony požádala své zákazníky o trpělivost, zatímco se vyšetřovala příčina výpadku, a uvedla, že může trvat „celý den nebo dva“, než bude služba opět plně funkční.

Společnost později oznámila, že „externí vniknutí“ ovlivnilo služby PlayStation Network a Qriocity. K tomuto vniknutí došlo mezi 17. dubnem a 19. dubnem 20. dubna Sony pozastavilo celosvětově všechny služby PlayStation Network a Qriocity. Společnost Sony vyjádřila lítost nad odstávkami a označila úkol opravy systému za „časově náročný“, ale povede k posílení síťové infrastruktury a dodatečného zabezpečení. 25. dubna mluvčí Sony Patrick Seybold na PlayStation Blogu zopakoval, že oprava a vylepšování sítě je „časově náročný“ proces bez odhadovaného času dokončení. Následující den však společnost Sony uvedla, že existuje „jasná cesta k obnovení systémů PlayStation Network a Qriocity“, přičemž u některých služeb se očekává obnovení do týdne. Společnost Sony dále uznala „kompromitaci osobních údajů v důsledku nezákonného narušení našich systémů“.

1. května společnost Sony oznámila program „Welcome Back“ pro zákazníky zasažené výpadkem. Společnost také potvrdila, že některé služby PSN a Qriocity budou k dispozici během prvního květnového týdne. Seznam služeb, u nichž se očekává, že budou k dispozici, zahrnoval:

  • Obnovení online hraní her v systémech PlayStation 3 (PS3) a PSP (PlayStation Portable)
  • To zahrnuje tituly vyžadující online ověření a stažené hry
  • Přístup k Music Unlimited s podporou Qriocity pro PS3/PSP pro stávající předplatitele
  • Přístup ke správě účtu a resetování hesla
  • Přístup ke stažení vypršených výpůjček filmů na PS3, PSP a MediaGo
  • PlayStation Home
  • Seznam přátel
  • Funkce chatu

Dne 2. května Sony vydala tiskovou zprávu, podle níž byly služby Sony Online Entertainment (SOE) vyřazeny z důvodu údržby kvůli potenciálně souvisejícím aktivitám během počátečního zločineckého hackingu offline. Bylo možné získat přístup k více než 12 000 číslům kreditních karet, byť v šifrované podobě, od držitelů neamerických karet a k dalším informacím z 24,7 milionu účtů SOE.

Během týdne společnost Sony poslala do Sněmovny reprezentantů USA dopis , kde zodpověděla dotazy a obavy z této události. V dopise společnost Sony oznámila, že bude poskytovat pojistky proti krádeži identity ve výši 1 milion USD na uživatele služeb PlayStation Network a Qriocity, a to navzdory tomu, že nebyly hlášeny žádné podvody s kreditními kartami. To bylo později potvrzeno na blogu PlayStation, kde bylo oznámeno, že služba AllClear ID Plus využívající technologii Debix bude k dispozici uživatelům ve Spojených státech zdarma po dobu 12 měsíců a bude zahrnovat sledování internetu, kompletní opravu identity v případě odcizení a pojistku proti krádeži identity pro každého uživatele ve výši 1 milion USD.

6. května Sony uvedlo, že zahájily „závěrečné fáze interního testování“ sítě PlayStation Network, která byla přestavěna. Následující den však společnost Sony oznámila, že v týdenním časovém rámci uvedeném 1. května nebudou moci přivést služby zpět online, protože „rozsah útoku na servery Sony Online Entertainment“ v té době nebyl znám. SOE na svém twitterovém účtu potvrdilo, že jejich hry budou k dispozici až někdy po víkendu.

Agentura Reuters začala událost hlásit jako "největší průlom v zabezpečení internetu vůbec". Mluvčí Sony řekl:

  • Společnost Sony odstranila osobní údaje 2500 lidí ukradených hackery a zveřejněných na webových stránkách
  • Data obsahovala jména a některé adresy, které byly v databázi vytvořené v roce 2001
  • Nebylo stanoveno žádné datum restartu

14. května se různé služby začaly vracet online na základě jednotlivých zemí, počínaje Severní Amerikou. Mezi tyto služby patří: přihlášení ke službám PSN a Qriocity (včetně resetování hesla), online hraní her na PS3 a PSP, přehrávání vypůjčeného videoobsahu, služba Music Unlimited (PS3 a PC), přístup ke službám třetích stran (např. Netflix, Hulu, Vudu a MLB.tv), seznam přátel, funkce chatu a PlayStation Home. Akce přišla s aktualizací firmwaru pro PS3, verze 3.61. Od 15. května služba v Japonsku a východní Asii ještě nebyla schválena.

Dne 18. května společnost SOE ukončila stránku pro resetování hesla na svém webu po zjištění dalšího zneužití, které uživatelům umožnilo obnovit hesla jiných uživatelů pomocí e -mailové adresy a data narození druhého uživatele . Přihlášení pomocí podrobností PSN na různé další weby Sony bylo také zakázáno, ale přihlášení do konzoly nebylo ovlivněno.

23. května Sony uvedla, že náklady na výpadek byly 171 milionů $.

Odpověď Sony

Sněmovna reprezentantů USA

Společnost Sony oznámila 4. května na blogu PlayStation, že:

Kazuo Hirai, předseda představenstva společnosti Sony Computer Entertainment America, předložil písemné odpovědi na otázky kladené podvýborem sněmovny Spojených států amerických ohledně rozsáhlého zločineckého kybernetického útoku, který jsme zažili.

Společnost Sony předala prostřednictvím dopisu, že:

V souhrnu jsme podvýboru řekli, že při řešení tohoto kybernetického útoku jsme se řídili čtyřmi klíčovými zásadami:

  1. Jednejte opatrně a opatrně.
  2. Poskytněte veřejnosti relevantní informace, jakmile budou ověřeny.
  3. Převezměte odpovědnost za naše závazky vůči našim zákazníkům.
  4. Spolupracujte s orgány činnými v trestním řízení.


Podvýbor jsme také informovali o následujících skutečnostech:

  • Společnost Sony se stala obětí velmi pečlivě naplánovaného, ​​velmi profesionálního a vysoce sofistikovaného zločineckého kybernetického útoku.
  • Zjistili jsme, že vetřelci vložili soubor na jeden z našich serverů Sony Online Entertainment s názvem „Anonymous“ se slovy „We are Legion“.
  • Do 25. dubna byly forenzní týmy schopny potvrdit rozsah osobních údajů, o nichž se domnívají, že byly získány, a nemohly vyloučit, zda byly přístupné informace o kreditní kartě. 26. dubna jsme zákazníky na tyto skutečnosti upozornili.
  • K dnešnímu dni hlavní společnosti vydávající kreditní karty neohlásily žádné podvodné transakce, o nichž se domnívají, že jsou přímým důsledkem tohoto kybernetického útoku.
  • Ochrana osobních údajů jednotlivců je nejvyšší prioritou a zajištění toho, aby byl internet zajištěn pro obchod, je také zásadní. Celosvětově se budou muset země a podniky spojit, aby zajistily bezpečnost obchodu přes internet a našly způsoby boje proti počítačové kriminalitě a kybernetickému terorismu.
  • Provádíme řadu kroků, abychom zabránili budoucímu narušení, včetně zvýšené úrovně ochrany dat a šifrování; vylepšená schopnost detekovat vniknutí softwaru, neoprávněný přístup a neobvyklé vzorce činnosti; další brány firewall; zřízení nového datového centra na nezveřejněném místě se zvýšeným zabezpečením; a pojmenování nového ředitele pro bezpečnost informací.

Vysvětlení zpoždění

26. dubna 2011 společnost Sony na blogu PlayStation vysvětlila, proč informování uživatelů PSN o krádeži dat trvalo tak dlouho:

Existuje rozdíl v načasování mezi tím, kdy jsme zjistili, že došlo k vniknutí, a kdy jsme se dozvěděli, že jsou data spotřebitelů ohrožena. Dozvěděli jsme se, že 19. dubna došlo k vniknutí, a následně jsme služby vypnuli. Poté jsme přivedli externí odborníky, aby nám pomohli zjistit, jak k narušení došlo, a provést vyšetřování, které by určilo povahu a rozsah incidentu. Bylo nutné provést několikadenní forenzní analýzu a našim odborníkům trvalo do včerejška, než pochopili rozsah porušení. Poté jsme tyto informace sdíleli s našimi spotřebiteli a dnes odpoledne jsme je veřejně oznámili.

Vyšetřování Sony

Možná krádež dat vedla společnost Sony k poskytnutí aktualizace týkající se vyšetřování trestných činů na blogu zveřejněném 27. dubna: „V současné době spolupracujeme s orgány činnými v trestním řízení v této záležitosti a také s uznávanou firmou zabývající se zabezpečením technologií, abychom provedli kompletní vyšetřování. útok proti našemu systému a proti našim zákazníkům je trestný čin a agresivně postupujeme, abychom našli odpovědné. “

3. května to zopakoval generální ředitel společnosti Sony Computer Entertainment Kazuo Hirai a řekl, že „vnější vniknutí“, kvůli kterému ukončili provoz sítě PlayStation Network, představuje „kriminální kybernetický útok“. Hirai dále expandoval a tvrdil, že systémy Sony byly před výpadkem napadeny „poslední měsíc a půl“, což naznačuje společný pokus zaměřit se na Sony.

4. května Sony oznámila, že přidává Data Forte do vyšetřovacího týmu Guidance Software a Protiviti při analýze útoků. Právní aspekty případu řešila společnost Baker & McKenzie. Společnost Sony uvedla své přesvědčení, že útok pravděpodobně provedli anonymní , decentralizovaná, neorganizovaná, volně přidružená skupina hackerů a aktivistů. Žádný Anons si nenárokoval žádnou účast.

Když se společnost Sony dozvěděla, že došlo k porušení, zahájila interní vyšetřování. Společnost Sony ve svém dopise americkému kongresu uvedla:

Jedna z našich prvních hovorů byla na FBI a toto je aktivní, probíhající vyšetřování.

Zjistili jste, jak k porušení došlo?

Ano, věříme, že ano. Společnost Sony Network Entertainment America pokračuje ve vyšetřování tohoto zločineckého vniknutí a během tohoto procesu by mohly být objeveny podrobnější informace. Zdráháme se zveřejnit všechny podrobnosti veřejně, protože informace jsou předmětem probíhajícího vyšetřování trestných činů a také by tyto informace mohly být použity ke zneužití zranitelností v jiných systémech než Sony, které mají podobnou architekturu jako PlayStation Network.

Neschopnost používat obsah PlayStation 3

Zatímco většina her zůstala hratelná ve svých offline režimech, PlayStation 3 nemohla hrát určité tituly Capcom v jakékoli formě. Poskytovatelé streamovaného videa v různých regionech, jako jsou Hulu , Vudu , Netflix a LoveFilm, zobrazovali stejnou zprávu o údržbě. Někteří uživatelé tvrdili, že mohou používat streamovací službu Netflix, ale jiní nemohli.

Kritika Sony

Opožděné varování před možnou krádeží dat

Originální model PlayStation 3

26. dubna, téměř týden po výpadku, společnost Sony potvrdila, že „nemůže vyloučit možnost“, že by mohly být prolomeny osobní identifikační údaje, jako je uživatelské jméno účtu PlayStation Network, heslo, domovská adresa a e -mailová adresa. Společnost Sony také zmínila možnost odebrání údajů o kreditní kartě - poté, co prohlásila, že do databází bylo vloženo šifrování, které by částečně vyhovovalo standardu PCI pro ukládání informací o kreditní kartě na server. V návaznosti na oznámení na oficiálním blogu i e-mailem byli uživatelé požádáni, aby zajistili transakce kreditní kartou kontrolou bankovních výpisů. Toto varování přišlo téměř týden po počátečním „ vnějším vniknutí “ a při vypnutí sítě.

Někteří toto vysvětlení zpochybnili a dotazovali se, že pokud společnost Sony považuje situaci za natolik závažnou, že museli vypnout síť, měla společnost Sony varovat uživatele před možným odcizením dat dříve než 26. dubna. Byly vzneseny obavy ohledně porušení dodržování předpisů PCI a selhání okamžitě upozornit uživatele. Americký senátor Richard Blumenthal napsal generálnímu řediteli Sony Computer Entertainment America Jackovi Trettonovi zpochybnění zpoždění.

Společnost Sony odpověděla dopisem podvýboru:

Z vašeho prohlášení vyplývá, že v tuto chvíli nemáte žádné důkazy o tom, že byly získány informace o kreditní kartě, ale tuto možnost nemůžete vyloučit. Vysvětlete, proč se domníváte, že nebyly získány informace o kreditní kartě, a proč nemůžete určit, zda byla data skutečně získána. Jak již bylo uvedeno výše, společnost Sony Network Entertainment America nebyla schopna s pomocí forenzní analýzy dosud provedené s jistotou dospět k závěru, že informace o kreditní kartě nebyly přeneseny ze systému PlayStation Network. Víme, že pro další osobní údaje obsažené v databázi účtů hacker provedl dotazy do databáze a externí forenzní týmy zaznamenaly velké množství dat přenesených v reakci na tyto dotazy. Naše forenzní týmy neviděly dotazy a odpovídající datové přenosy informací o kreditní kartě.

Nešifrované osobní údaje

Údaje o kreditních kartách byly zašifrovány, ale Sony připustila, že ostatní informace o uživateli nebyly v době vniknutí šifrovány. The Daily Telegraph uvedl, že „Pokud poskytovatel ukládá hesla nešifrovaná, pak je pro někoho jiného - nejen pro externího útočníka, ale pro zaměstnance nebo dodavatele pracující na webu Sony - velmi snadné získat přístup a zjistit tato hesla, případně je použít pro hanebné prostředky. " 2. května společnost Sony objasnila „nešifrovaný“ stav hesel uživatelů a uvedla, že:

Hesla, která byla uložena, nebyla „zašifrována“, ale byla transformována pomocí kryptografické hashovací funkce . Mezi těmito dvěma typy bezpečnostních opatření je rozdíl, a proto jsme řekli, že hesla nebyla šifrována. Chci však zcela jasně říci, že hesla nebyla v naší databázi uložena ve formě čistého textu.

Úřad britských informačních komisařů

Po formálním vyšetřování společnosti Sony z důvodu porušení britského zákona o ochraně osobních údajů z roku 1998 vydal úřad komisařů pro informaci prohlášení, které je velmi kritické vůči zabezpečení, které společnost Sony zavedla:

Pokud jste zodpovědní za tolik údajů o platební kartě a přihlašovacích údajů, pak musí být zabezpečení vašich osobních údajů vaší prioritou. V tomto případě se to prostě nestalo a když byla databáze zaměřena - i když v rámci určeného kriminálního útoku - zavedená bezpečnostní opatření prostě nebyla dost dobrá. Neexistuje žádné zastření, že se jedná o firmu, která měla vědět lépe. Je to společnost, která obchoduje se svými technickými znalostmi, a v mé mysli není pochyb, že měli přístup jak k technickým znalostem, tak ke zdrojům, které tyto informace uchovávají v bezpečí.

Společnost Sony dostala pokutu 250 000 liber (395 tisíc dolarů) za bezpečnostní opatření tak špatná, že nedodržovaly britské zákony.

Výpadek online zábavy Sony

3. května společnost Sony v tiskové zprávě uvedla, že může existovat korelace mezi útokem, ke kterému došlo 16. dubna, na síť PlayStation Network, a útokem, který narušil Sony Online Entertainment 2. května. Tato část útoku měla za následek krádež informací na 24,6 milionu držitelů účtu Sony Online Entertainment. Databáze obsahovala 12 700 čísel kreditních karet, zejména těch, které nemají bydliště v USA, a od roku 2007 se nepoužívala, protože většina údajů byla použita na karty s prošlou platností a smazané účty. Následující den společnost Sony aktualizovala tyto informace tím, že uvedla, že pouze 900 karet v databázi je stále platných. Útok měl za následek pozastavení serverů SOE a her na Facebooku . SOE poskytl 30 dní volného času plus jeden den za každý den, kdy byl server mimo provoz, uživatelům Clone Wars Adventures , DC Universe Online , EverQuest , EverQuest II , EverQuest Online Adventures , Free Realms , Pirates of the Burning Sea , PlanetSide , Poxnora , Star Wars Galaxies a Vanguard: Saga of Heroes , jakož i další formy kompenzace pro všechny ostatní online hry Sony.

Bezpečnostní experti Eugene Lapidous z AnchorFree, Chester Wisniewski ze Sophos Canada a Avner Levin z Ryerson University kritizovali Sony a zpochybňovaly její metody zabezpečení uživatelských dat. Lapidous označil porušení za „těžko omluvitelné“ a Wisniewski to označil za „akt arogance nebo jednoduše hrubé neschopnosti“.

Reakce

Odškodnění uživatelům

Poté, co se síť PlayStation Network vrátila do provozu, pořádala společnost Sony speciální akce. Společnost Sony uvedla, že má plány na verze PS3 DC Universe Online a Free Realms, které by pomohly zmírnit některé jejich ztráty. Na tiskové konferenci v Tokiu 1. května společnost Sony oznámila program „Welcome Back“. Kromě „vybraného zábavného obsahu PlayStation“ program slíbil zahrnout 30denní bezplatné členství ve službě PlayStation Plus pro všechny členy PSN, zatímco stávající členové PlayStation Plus získali na předplatné dalších 30 dní. Předplatitelé Qriocity dostali 30 dní. Sony v příštích týdnech slíbilo další obsah a služby. Společnost Sony nabídla jeden rok bezplatnou ochranu proti krádeži identity všem uživatelům s blížícími se detaily.

Hulu odškodnilo uživatele PlayStation 3 za neschopnost využívat jejich službu během výpadku tím, že členům Hulu Plus nabídlo jeden týden bezplatné služby.

Dne 16. května 2011 společnost Sony oznámila, že dvě hry PlayStation 3 a dvě hry PSP budou nabízeny zdarma ze seznamů pěti a čtyř. Dostupné hry se lišily podle regionů a byly k dispozici pouze v zemích, které měly přístup k obchodu PlayStation Store před výpadkem. 27. května 2011 společnost Sony oznámila balíček „Welcome Back“ pro Japonsko a region Asie (Hongkong, Singapur, Malajsie, Thajsko a Indonésie). V asijském regionu bylo kromě her dostupných v balíčku „Welcome Back“ zdarma nabízeno téma - Jarní téma Dokodemo Issyo .

^† 5 her PSP je nabízeno na japonském trhu.

Hry PS3 dostupné podle regionů
Hra Severní Amerika Evropa (mimo Německo) Německo Asie Japonsko
Wipeout HD/Fury Ano Ano Ano Ano Ano
Malá velká planeta Ano Ano Ano Ne Ne
Neslavný Ano Ano Ne Ne Ne
Mrtvý národ Ano Ano Ne Ne Ne
Super Stardust HD Ano Ne Ano Ne Ne
Ratchet & Clank: Quest for Booty Ne Ano Ano Ne Ne
Hustle Kings Ne Ne Ano Ano Ano
Poslední chlap Ne Ne Ne Ano Ano
Odpadkový koš Ne Ne Ne Ano Ne
Pojď, LocoRoco !! BuuBuu Cocoreccho Ne Ne Ne Ano Ano
Echochrome: Předehra Ne Ne Ne Ne Ano
Hry PSP dostupné podle regionů
Hra Severní Amerika Evropa (mimo Německo) Německo Asie Japonsko
Malá velká planeta Ano Ano Ano Ano Ano
ModNation Racers Ano Ano Ano Ano Ne
Stíhací síla Ano Ano Ne Ne Ne
Killzone Liberation Ano Ano Ne Ne Ne
Everybody's Golf 2 Ne Ne Ano Ne Ne
Buzz Junior Jungle Party Ne Ne Ano Ne Ne
Everybody's Stress Buster Ne Ne Ne Ano Ano
Locoroco půlnoční karneval Ne Ne Ne Ano Ano
Patapon 2 Ne Ne Ne Ne Ano
Co jsem udělal, abych si toho zasloužil, můj pane? Ne Ne Ne Ne Ano

^‡ Nabízená verze hryKillzone Liberationnenabízí funkce online hraní.

Vládní reakce

Krádež dat se týkala úřadů po celém světě. Graham Cluley, vedoucí technologický konzultant ve společnosti Sophos , uvedl, že toto porušení „rozhodně patří mezi největší ztráty dat, jaké kdy postihly jednotlivce“.

Úřad britského komisaře pro informace uvedl, že společnost Sony bude vyslechnuta a že bude provedeno vyšetřování s cílem zjistit, zda společnost Sony přijala přiměřená opatření k ochraně údajů o zákaznících. Podle britského zákona o ochraně údajů byla společnost Sony za porušení pokutována 250 000 GBP.

Kanadská komisařka pro ochranu osobních údajů Jennifer Stoddart potvrdila, že kanadské úřady to prošetří. Úřad komisaře vyjádřil své znepokojení nad tím, proč kanadské úřady nebyly dříve informovány o narušení bezpečnosti.

Americký senátor Richard Blumenthal z Connecticutu požadoval od Sony odpovědi na narušení dat zasláním e -mailu generálnímu řediteli SCEA Jacku Trettonovi, který argumentoval zpožděním informování svých zákazníků a trval na tom, aby společnost Sony pro své zákazníky udělala více, než jen nabízela bezplatné služby hlášení úvěrů. Společnost Blumenthal později vyzvala k vyšetřování amerického ministerstva spravedlnosti s cílem nalézt odpovědnou osobu nebo osoby a určit, zda společnost Sony odpovídá za způsob, jakým situaci zvládla.

Kongresmanka Mary Bono Mack a kongresmanka GK Butterfield poslali společnosti Sony dopis, ve kterém požadovali informace o tom, kdy bylo porušení zjištěno a jak se bude krize řešit.

Společnost Sony byla požádána, aby před kongresovým slyšením o bezpečnosti vypovídala a odpověděla na otázky týkající se porušení zabezpečení 2. května, ale místo toho poslala písemnou odpověď.

Právní kroky proti společnosti Sony

27. dubna podal Kristopher Johns z Birminghamu v Alabamě soudní žalobu jménem všech uživatelů PlayStation, kteří tvrdili, že Sony „nešifrovala data a nezavedla adekvátní brány firewall, aby zvládla nouzovou situaci narušení serveru, neposkytla rychlá a adekvátní varování před narušením zabezpečení a nepřiměřeně zpožděno při uvedení služby PSN zpět do režimu online. “ Podle stížnosti podané v žalobě společnost Sony neinformovala členy o možném narušení bezpečnosti a ukládání informací o kreditní kartě členů, což je porušení standardu PCI - standardu digitálního zabezpečení pro průmysl platebních karet.

Kanadský soud proti Sony USA, Sony Canada a Sony Japan požadoval náhradu škody až do výše 1 miliardy USD včetně bezplatného monitorování kreditu a pojištění krádeže identity. Žalobce byl citován slovy: „Pokud nemůžete důvěřovat obrovské nadnárodní společnosti, jako je Sony, aby chránila vaše soukromé informace, komu můžete věřit? Zdá se mi, že Sony se více zaměřuje na ochranu svých her než uživatelé PlayStation“ .

V říjnu 2012 kalifornský soudce zamítl žalobu na Sony kvůli porušení zabezpečení PSN, přičemž rozhodl, že Sony neporušila kalifornské zákony o ochraně spotřebitele, přičemž citoval „neexistuje nic jako dokonalé zabezpečení“.

V roce 2013 Úřad komisaře pro informace ve Velké Británii účtoval společnosti Sony pokutu 250 000 GBP za ohrožení velkého množství osobních a finančních údajů klientů PSN.

Podvody s kreditními kartami

V květnu 2011 neexistovaly žádné ověřitelné zprávy o podvodech s kreditními kartami v souvislosti s výpadkem. Na internetu se objevily zprávy, že někteří uživatelé PlayStation zaznamenali podvody s kreditními kartami; s incidentem však teprve měli být spojeni. Uživatelé, kteří zaregistrovali kreditní kartu pro použití pouze u společnosti Sony, také nahlásili podvod s kreditní kartou. Společnost Sony uvedla, že kódy CSC požadované jejich službami nebyly uloženy, ale hackeři mohli být schopni dešifrovat nebo zaznamenat údaje o kreditní kartě v síti Sony.

Společnost Sony ve svém dopise podvýboru uvedla:

Kolik držitelů účtu PlayStation Network poskytlo informace o kreditní kartě společnosti Sony Computer Entertainment?

Celosvětově mělo informace o kreditní kartě v systému PlayStation Network přibližně 12,3 milionu majitelů účtů. Ve Spojených státech mělo informace o kreditní kartě v systému uloženo přibližně 5,6 milionu držitelů účtu. Tato čísla zahrnují aktivní kreditní karty a karty, jejichž platnost vypršela.

K dnešnímu dni hlavní společnosti vydávající kreditní karty neoznámily, že by v důsledku útoku došlo k nárůstu počtu podvodných transakcí s kreditními kartami, a neohlásily nám žádné podvodné transakce, o nichž se domnívají, že jsou přímým důsledkem výše popsaných průniků.

5. května dopis generálního ředitele a prezidenta společnosti Sony Corporation of America sira Howarda Stringera zdůraznil, že neexistují žádné důkazy o podvodu s kreditní kartou a že uživatelé PSN a Qriocity budou mít k dispozici pojistku proti krádeži identity za 1 milion dolarů:

K dnešnímu dni neexistují žádné potvrzené důkazy o zneužití kreditní karty nebo osobních údajů a situaci nadále pečlivě sledujeme. Pokračujeme také s plány, které pomohou chránit naše zákazníky před krádeží identity na celém světě. Program pro zákazníky US PlayStation Network a Qriocity, který zahrnuje pojistku proti krádeži identity na uživatele na 1 milion dolarů, byl spuštěn dnes dříve a oznámení pro další regiony budou brzy k dispozici.

Změna smluvních podmínek

Bylo navrženo, aby změna podmínek PSN oznámená 15. září 2011 byla motivována velkými škodami, které byly uplatňovány skupinovými žalobami proti Sony, ve snaze minimalizovat ztráty společnosti. Nová dohoda vyžadovala, aby uživatelé souhlasili, že se vzdají svého práva (spojit se jako skupina ve skupinové žalobě ) žalovat společnost Sony za jakékoli budoucí narušení bezpečnosti, aniž by se nejprve pokoušeli vyřešit právní problémy s arbitrem. To zahrnovalo všechny probíhající hromadné žaloby zahájené před 20. srpnem 2011.

Další klauzule, která odebrala uživateli právo na soudní porotu, pokud by se uživatel z klauzule odhlásil (zasláním dopisu společnosti Sony), říká:

Pokud bude klauzule o prominutí skupinové žaloby shledána nezákonnou nebo nevymahatelnou, bude celý tento článek 15 nevymahatelný a spor bude rozhodovat soud a vy a subjekt Sony, s nímž vedete spor, se každý v takovém případě dohodnete, že se zřeknete, v plném rozsahu povoleném zákonem, jakýkoli soud poroty.

Společnost Sony zaručila, že soud v příslušné zemi, v tomto případě USA, bude mít jurisdikci ohledně jakýchkoli pravidel nebo změn v Sony PSN ToS:

Tyto podmínky služby a všechny otázky týkající se plnění, výkladu, porušení nebo vymáhání těchto podmínek služby nebo práv, povinností a odpovědností vás a nás podle nich se řídí zákony státu Kalifornie. Souhlasíte s tím, že veškeré spory, nároky nebo soudní spory vyplývající z těchto Podmínek služby a jakýkoli způsob související s těmito Podmínkami služby a náš vztah s Vámi budou vedeny pouze u soudu příslušné jurisdikce se sídlem v San Mateo County, State of California. Souhlasíte, že budete podléhat osobní jurisdikci a místu konání v tomto místě.

Reference