索尼與黑客的較量

文/彭永清

索尼與黑客的較量

Sony vs Hackers

文/彭永清

2011年4月17日，日本索尼公司旗下子公司、游戲機和游戲軟件開發(fā)、制造與販?zhǔn)凵獭髂犭娔X娛樂公司（Sony Computer Entertainment Inc.，簡稱為SCE）稱，該公司專為游戲機提供在線服務(wù)的“PlayStation Network”（簡稱PSN）和電影音樂服務(wù)系統(tǒng)“Qriocity”的登錄用戶信息被泄漏。26日，熱門網(wǎng)游“PlayStation3（PS3）”稱由于其服務(wù)器被黑客非法侵入，導(dǎo)致網(wǎng)民個人信息外泄。一時間，這起影響到約60個國家在線用戶的情報外泄事件令世界IT業(yè)大為震驚。索尼公司在與黑客的較量中暫時敗下陣來。

網(wǎng)民信息外泄事件震驚世界。德國，一位婦女在看索尼playstation網(wǎng)頁。（圖/IC）

到底誰是竊秘者？

泄漏原因是由于第三者非法登錄。從4月17日至19日，攻擊者非法登錄SCE的系統(tǒng)，將已經(jīng)注冊的PNS和Qriocity用戶的個人資料盜走。雖說用戶個人信息從企業(yè)系統(tǒng)中泄漏出去的事件并不稀奇，但是這次泄漏事件與其他事件性質(zhì)大不相同，因為其泄漏的個人信息數(shù)量可能是一個天文數(shù)字。

盡管SCE并不能確認目前為止的具體泄漏數(shù)量，但從最壞的結(jié)果來看，利用這些服務(wù)的約7700萬（北美3600萬人、歐洲3200萬人、包括日本在內(nèi)的亞洲900萬人）個人用戶的資料可能已經(jīng)被泄密。SCE公司稱，盡管這7700萬用戶并非全部通過信用卡登錄，但如果大部分用戶的個人信息已經(jīng)泄漏的話，這將是有史以來最嚴重的“信用卡信息泄漏事件”。

從過去的案例來看，通過病毒入侵的方式來盜取用戶個人信息的方法較為普遍。此次事件之前最為嚴重的一次泄密事件是2005年6月美國信用卡情報處理公司“CardSystems Solutions”大約4000萬張信用卡信息被人盜取并泄漏。

事件發(fā)生后不久，SCE一些負責(zé)人就對美國媒體說明了信用卡信息是如何泄漏出去的。據(jù)稱，攻擊者可能是利用某個軟件的漏洞，通過病毒侵入“CardSystems Solutions”公司的情報系統(tǒng)，從而獲取了用戶秘密資料。這種通過病毒入侵電腦系統(tǒng)的方法被稱為高級持續(xù)性威脅（APT，Advanced Persistent Threats的簡稱）。

不過，確定非法入侵者要比確認非法入侵手段更難。如果不清楚作案手法的話，要確認罪犯就難上加難了。但一些專家列舉出一個特定的集團為犯罪“嫌疑人”——Anonymous集團。這是一個由網(wǎng)絡(luò)用戶構(gòu)成的黑客集團，其具體身份不明。該集團所做的是一些諸如準(zhǔn)備攻擊某些特定企業(yè)和組織的網(wǎng)站等的“抗議活動”。例如，它會通過大量數(shù)據(jù)來向攻擊對象的網(wǎng)站輸送病毒，并使其網(wǎng)站無法正常工作。

與其說Anonymous是一個固定的集團，還不如說它是“活動”的組織。除了主要成員外，其他人員似乎并不固定。通常，由主要成員決定攻擊對象并召集其他人員參與攻擊。人員聚齊后，由他們利用專門的病毒對指定網(wǎng)站進行攻擊，直到將其攻癱。2010年，Anonymous支持泄密網(wǎng)站“WikiLeaks”，不僅在網(wǎng)上公開了美國外交電文，而且還對已經(jīng)停止向其提供服務(wù)的PayPal、Visa和Master信用卡等網(wǎng)站進行攻擊。

另外，Anonymous在2010～2011年突尼斯爆發(fā)的民主化運動“茉莉花革命”中也表現(xiàn)得非常活躍。由于反對突尼斯政府的信息管制，Anonymous不僅對政府網(wǎng)站予以攻擊，還篡改政府網(wǎng)站主頁，發(fā)表革命宣言書。2011年1至2月埃及發(fā)生反政府運動之際，Anonymous出于對埃及政府限制言論自由的政策不滿，也對政府及穆巴拉克總統(tǒng)的網(wǎng)站進行了攻擊。

4月，SCE公司也成了Anonymous的攻擊目標(biāo)。起因是SCE在美國的法人起訴Anonymous一位技術(shù)人員。SCE公司法人稱該技術(shù)人員破解了PS3游戲的玩法并將之公布于網(wǎng)上，并于2011年1月將其起訴，告其侵犯著作權(quán)。隨即，Anonymous向SCE發(fā)出“宣戰(zhàn)布告”。盡管SCE與該技術(shù)人員于3月底和解，但Anonymous仍然于4月對PSN網(wǎng)站發(fā)起攻擊，使用戶無法登錄的時間長達20分鐘，而且還出現(xiàn)了20分鐘的混亂狀態(tài)。

由于Anonymous屢次出現(xiàn)這種攻擊門戶網(wǎng)站的情況，因此PSN和“Qriocity”用戶信息外泄事件一出現(xiàn)，人們就懷疑這很可能又是Anonymous所為。不過，4月24日Anonymous發(fā)表公開言論，宣稱此次非法登錄事件與之無關(guān)。實際上，此次非法登錄事件的手法與此前Anonymous對網(wǎng)站進行攻擊的手法大不相同。迄今為止，Anonymous的攻擊幾乎是通過眾多用戶向網(wǎng)站發(fā)送大量數(shù)據(jù)致網(wǎng)站無法正常運行的手法，并非以竊取個人信息為目的。因此，有人認為，盡管Anonymous有可能間接地參加了此次行動，但它是此次攻擊行動主謀的可能性極低。

另一種說法是黑客說。今年剛開始，索尼就與黑客集團展開了暗戰(zhàn)，這說明其聲稱的較為安全的游戲機發(fā)送服務(wù)和網(wǎng)絡(luò)服務(wù)的脆弱性。

事實上，許多人都被家庭用游戲機構(gòu)成的網(wǎng)絡(luò)比電腦網(wǎng)絡(luò)更安全的“常識”所蒙蔽。由于電腦技術(shù)是公開的，要改變和侵入電腦系統(tǒng)非常容易，而各公司利用其固有技術(shù)開發(fā)的游戲機品種繁多且不公開，因此攻擊難度也更大。但是，此次事件令人意外地看到了它們脆弱的一面。

在在線游戲世界中，利用病毒等盜取信用卡賬號的現(xiàn)象頻頻發(fā)生。但是，由于讓家庭游戲機中毒需要非常復(fù)雜的操作程序，因此個人情報很難被竊取。而且，通過專用硬盤使用戶只局限于玩游戲的程度上，因此整個服務(wù)系統(tǒng)的安全性也可以得到保證。而對于電腦用戶的在線游戲，被盜的卡號往往會變?yōu)樗怂?。但是，一旦非法使用PSN，硬盤（游戲機）也將可能永遠不能使用PSN。因此，PSN系統(tǒng)對非法入侵還是具有一定的抑制能力。此次信息泄漏事件由于是黑客非法入侵管理用戶的數(shù)據(jù)庫并將其外泄所致，所以，盡管PSN系統(tǒng)可以抑制來自外部的多個硬盤的入侵，但既然服務(wù)器這層防護墻被攻破，管理系統(tǒng)也就毫無防御作用可言了。美國蘋果和微軟公司盡管都向用戶提供網(wǎng)絡(luò)服務(wù)，但兩公司都是從最基本的軟件進行開發(fā)，可見其保密意識極高。許多IT界精英都懷疑說：“難道索尼基本軟件的安全性有問題嗎？”

2011年5月1日，索尼公司游戲業(yè)務(wù)CEO平井一夫就PSN平臺玩家個人信息被盜一事鞠躬致歉。（圖/IC）

索尼態(tài)度遭質(zhì)疑

遭到質(zhì)疑的不僅僅是索尼公司基本軟件的安全性。索尼公司在事發(fā)一周后才公布具體情況的態(tài)度，不僅遭到用戶的強烈譴責(zé)，而且還導(dǎo)致美國眾議院議員向索尼公司提交了質(zhì)疑書。或許在豐田汽車索賠事件之后，索尼公司也將步其后塵。兩場商業(yè)丑聞加在一起，甚至有可能引發(fā)政治問題。

從20日起，用戶就無法登錄PSN和“Qriocity”的系統(tǒng)，于是，網(wǎng)站遭到黑客攻擊的傳言立刻流傳到網(wǎng)上。但是，索尼通過電子郵件告知用戶情報外泄卻過了一個多星期，這遭到網(wǎng)民的強烈批評。一位從PSN購買了10多套游戲軟件的30歲男性稱，“（將個人信息）公布在網(wǎng)上的惡劣行徑令人恐懼。讓我不敢馬上使用這些游戲軟件?！?/p>

據(jù)稱，SCE公司的主打游戲機PS3目前在全球的銷量超過了5000萬臺。而個人信息外泄無疑對這些用戶是巨大打擊。

27日，東京秋葉原一位游戲玩家甚至不敢相信事情是真的，他表示“個人信息如果被人惡意利用，后果不堪設(shè)想”。一位前來購物的千葉縣市川市的19歲大學(xué)生松井也對此感到擔(dān)心，他說：“兩三天以前聽朋友說‘不要上網(wǎng)’，當(dāng)時我還認為是謠言?，F(xiàn)在才知道果真如此。”松井于兩年前購買了一臺PSN游戲機，并很快通過網(wǎng)絡(luò)登錄，并每月從網(wǎng)絡(luò)下載軟件更新一次游戲。他說：“由于該款游戲機具有許多新功能，朋友們都在用。希望盡早恢復(fù)其安全性。”東京都品川區(qū)無業(yè)人員田口正雄（22歲）搖頭說，我還以為“PS3的保密性能非常高”，“盡管這次事件對我沒有造成什么損失，但網(wǎng)絡(luò)惡搞行為令人恐怖。我都不想再玩游戲了?！?/p>

數(shù)量最多的美國用戶對此次個人信息被曝光事件非常氣憤。要知道，在美國許多人哪怕是小到3～5美元的生活必需品都使用信用卡，因此對信用卡的安全管理特別敏感，更何況是個人信息被泄漏出去。因此，索尼此次可謂是捅了一個“馬蜂窩”，不僅讓美國用戶對其產(chǎn)生不信任，而且還無法預(yù)知問題將如何處理才能令這些用戶滿意。

處理豐田大規(guī)模召回事件的美國眾議院能源商業(yè)委員會事發(fā)后立即向索尼公司遞交了質(zhì)詢疑書。據(jù)負責(zé)遞交質(zhì)疑書的宣傳官員稱，“我們不能忽視數(shù)百萬美國消費者對自己信用卡信息被竊取的擔(dān)憂?！蓖瑫r，美方要求索尼公司盡快給予答復(fù)。而與美國議會表現(xiàn)不同的是，康涅狄格州司法部長杰普森深表擔(dān)憂，他說：“我對索尼公司采取對策的有效性感到懷疑?！绷硗?，一些用戶由于個人信息處理發(fā)生問題也向法院起訴索尼公司。一時間，索尼公司成為眾矢之的，如果其對策稍有不慎，不僅將對其在北美這個幾乎占其總銷售額1/4的巨大市場的利益產(chǎn)生直接的影響，而且還可能因受害者人數(shù)巨大造成世界范圍的“脫離索尼”后果。

熟知網(wǎng)絡(luò)犯罪的甲南大學(xué)法學(xué)研究生院教授園田壽指出，“企業(yè)一旦保存如此數(shù)量的個人信息，又出現(xiàn)此次事件一樣的問題，那它的聲譽將無法挽回。”索尼公司在處理緊急事態(tài)時表現(xiàn)出來的態(tài)度，令人想到東京電力公司在處理核電站事故時的表現(xiàn)。

賠償高達2萬億日元

個人信息外泄、應(yīng)急時的糟糕表現(xiàn)，不僅令索尼公司備受指責(zé)，而且還要承擔(dān)巨額賠償，可謂一波未平，一波又起。據(jù)美國《華爾街日報》稱，索尼公司不僅要為此次“歷史上最為惡劣的情報泄露事件”付出超過2萬億日元的高昂代價，而且還不可避免地被追究經(jīng)營責(zé)任，它將面臨前所未有的危機。

日本約有900萬名在線用戶，此次信息外泄對日本企業(yè)來說是過去以來最大的，其賠償金額也將數(shù)字巨大。據(jù)稱，被外泄的個人信息包括姓名、住址、郵箱賬號、生日和密碼等。SCE公司稱，“不排除”個人信用卡賬號和有效期限外泄的可能性，并呼吁網(wǎng)民就信用卡的使用經(jīng)歷進行“定期確認”。

研究IT犯罪的紀藤正樹博士指出，“損害賠償額因泄漏情報的價值而改變。住址和電話號碼、卡號等基本情報的泄漏，每人可以得到5000至10000日元的賠償，但泄漏的信息關(guān)乎個人名譽的話，賠償金額就會成倍增加?！奔o藤還說：“日本的美容相關(guān)企業(yè)如果出現(xiàn)賠償事件，每位受害者平均可得到30000日元的賠償，如果按照這個標(biāo)準(zhǔn)來賠償?shù)脑?，索尼公司可能要向所有用戶賠付總共2萬億日元以上?！?/p>

受害者以美國用戶居多。4月27日，美國一居住在阿拉巴馬州的男性用戶向加利弗尼亞州法院起訴SCE公司。該男性稱，索尼公司在對用戶個人信息保密上疏于管理，要求索尼公司賠償并無償對其信用卡賬號進行調(diào)查。同時他還說，索尼公司沒有及時向用戶傳達情報，使用戶無法變更卡號并避免信息外泄，需要承擔(dān)完全責(zé)任。他同時呼吁用戶起來進行集團訴訟，并要求索尼公司作出賠償。

盡管在美國這個‘訴訟國家’起訴，索尼公司可能要支付更多的賠償金，但紀藤說：“在美國，與個人信息泄漏相關(guān)的損害賠償請求并不多?！钡?，據(jù)一位IT負責(zé)人說，即使美國方面沒有提出訴訟請求，包括道歉等在內(nèi)的事后處理費用也不是個小數(shù)目，僅簡單計算一下，平均每位登錄者“至少需要5000日元”，也就是說，索尼公司將為近7700萬名用戶支付高達4000億日元的賠款。另外，IT記者井上年行指出，可能還有出現(xiàn)其他方式的賠償。他說：“停止在線游戲服務(wù)，（用戶）使用虛擬貨幣無法挽救數(shù)據(jù)時，恐怕會向服務(wù)方提出賠償請求?！?/p>

對于網(wǎng)游業(yè)來說，信息泄漏造成的影響無法預(yù)測。將游戲機、電視和攜帶終端等硬件與網(wǎng)絡(luò)相連，并且向用戶提供電影、音樂和游戲等類型的信息服務(wù)，是索尼公司目前最為看重的戰(zhàn)略。主要負責(zé)此項經(jīng)營的是50歲的SCE社長平井一夫。由于SCE希望采取這一有力手段與先行一步的美國蘋果公司競爭市場份額，因此索尼公司也對SCE提供了最大支持。但是，這一旨在擴大經(jīng)營范圍的網(wǎng)絡(luò)戰(zhàn)略卻在未達到目的前出現(xiàn)了個人情報外泄的事件，令消費者喪失信任，也使索尼公司的事業(yè)前景也蒙上一層陰影。

更為嚴重的是SCE對情報公開的“姿態(tài)”。該公司在4月21日停止了PSN的服務(wù)只說是因為“系統(tǒng)障礙”，而且，該公司在27日公布情報外泄的同時還聲明，“26日要發(fā)表一款新的、可以與蘋果抗衡的平板終端。難道不應(yīng)該期待這一新產(chǎn)品的發(fā)表嗎？”從此可以看出，SCE公司注重自身利益重于用戶。據(jù)井上稱，也正因如此，“事件的處理如果時間拉長，將影響到索尼與蘋果下一代網(wǎng)游老大的地位之爭”。

5月1日，SCE表示一周內(nèi)將重新開通一部分游戲，月底將全面開通。而對于約7700萬會員的賠償問題，SCE公司表示將考慮采取部分游戲和音樂免費的方式。平井一夫在東京都內(nèi)總部舉行的記者招待會上就泄密一事向用戶道歉，說此次黑客入侵事件是“擁有先進技術(shù)服務(wù)器恐怖行為”，并表示希望美國聯(lián)邦調(diào)查局對此案進行調(diào)查。平井在提到今后的經(jīng)營方針時強調(diào)說，“網(wǎng)絡(luò)戰(zhàn)略是索尼集團最重要的戰(zhàn)略”，“要進一步強化集團全體工作人員的情報管理體制”。

就SCE公司遲遲未向用戶發(fā)出問題通知，遭到美國用戶和參議院也向國會提交了質(zhì)詢一事，平井解釋說：“這是由于處理龐大的數(shù)據(jù)需要花時間，再就是希望盡可能向用戶提供準(zhǔn)確的情報。”

SCE行將何處？

導(dǎo)致此次網(wǎng)絡(luò)用戶個人信息外泄事件的另一個重要原因是索尼組織上存在缺陷。有人指出，“（索尼公司）組織僵硬，垂直管理的行政機制帶來的弊端導(dǎo)致了此次最壞的局面。情報公示的遲滯和不準(zhǔn)確，態(tài)度就像東京電力公司一樣。”不過，對于一個經(jīng)營快30年的老牌公司來說，組織上存在一定的老化現(xiàn)象在所難免。因此說，包括在游戲業(yè)的任何企業(yè)，都難保出現(xiàn)索尼公司這樣的問題。而且，在游戲業(yè)界，許多企業(yè)都要預(yù)留個人信息。所以，無論哪個企業(yè)都要防止索尼事件在自己身上重現(xiàn)。只有這樣，企業(yè)才能對用戶信息進行有效保密，也才能贏得用戶的依賴，SCE也同樣。

對于此次個人信息外泄事件，沒有人比平井更沮喪。這位索尼公司的元老級人物，從PS游戲初期的1995年開始一直致力于開拓美國市場。由于其出色業(yè)績，被業(yè)界尊稱為“Kaz(‘一夫’的英文簡稱)”，并使SCE在美國牢牢站住腳跟。因此，資料外泄事件對于早已與SCE榮辱與共、結(jié)下深厚感情的平井來說無疑是個沉重的打擊。

在記者招待會上，平井始終保持著低頭謝罪的態(tài)度。他說：“家用游戲機制造銷售公司制作出安全而有效的系統(tǒng)，是迎合軟件商和用戶的最好辦法。剽竊（使用戶資料外泄）行為是對游戲制造者的挑戰(zhàn)，它將對游戲行業(yè)基礎(chǔ)造成巨大破壞。我們應(yīng)該嚴陣以待?！?/p>

然而，索尼如果想解決問題，從SCE的歷史來看，平井似乎是處理此次問題的不二人選。平井說：“用戶對網(wǎng)絡(luò)服務(wù)商寄予依賴是最重要的。再次贏得用戶依賴是索尼必須認真考慮的事。如若不然，索尼的未來將一片漆黑?！比澜绲挠脩艉蛙浖潭济芮凶⒁曋髂岬膭酉颉！?/p>

編輯：陳暢鳴 charmingchin@163.com