【打電動精選】4月20日,Sony Computer Entertainment(以下簡稱SCE)表示因為受到來自於外部的駭客攻擊,暫時停止PlayStation Network(以下簡稱PSN)服務,並宣稱需要「1到2天」的時間恢復服務。但直到4月27日為止,SCE都沒有恢復相關服務,直到4月26日 SCE 宣布PSN無限期停機時,才承認駭客事件的問題比想像中嚴重。
Sony 承認個資遭到洩漏
根據SCE指出,4月19日開始,他們發現PSN的系統遭到外部的入侵,並注意到使用者的資料「可能」被下載。SCE立即在4月20日關閉PSN的 服務,他們對外說明「PSN只需要關閉1到2天即可恢復」、「我們尚未確認使用者資料是否外洩,但不排除有這個可能」,接著他們召集外部的專家一同會商, 並對PSN進行全面檢驗。
▲ 亞洲 PSN 的繁體中文官方聲明。(圖片來源:PlayStation Asia)
「直到星期一,我們才知道事情這麼嚴重。」SCE在台灣時間4月27日早晨承認。他們在4月26日表示PSN將會無限期關閉直到問題修復,但這時他們已經關機超過5天,遠超過原本預計「1到2天」的關閉時間,且在事件經過7天後才承認使用者資料被盜。今早 PlayStation 亞洲區官方網站也貼出中文版官方聲明,請PSN使用者注意自己的帳戶以及信用卡單據,等於間接承認使用者的信用卡資料已經洩漏。
改機者發現的重大漏洞
2011年2月中,一位PS3使用者曾在討論 PS3 破解的論壇上,發表他使用自製韌體(Custom Firmware,CFW)上PSN的心得,如果你要透過自製韌體登入PSN,勢必得欺騙PSN上的保護與檢查機制。有人在研究如何繞過檢查機制時發現,PSN並未透過再加密的方式傳送個人資料,這很容易讓人在傳輸過程中被攔截到個人資料;但也有人反駁,再加密只需要在伺服器上進行即可,因此PSN上儲存的資料應該已經進行過再加密的動作。
▲ 在PSN上的信用卡資料看來凶多吉少。(圖片來源:arstechnica.com)
一般來說,像信用卡號碼這類非常重要的使用者個資,應該都在你輸入資料之後,將信用卡號碼用演算法加密之後,才會將已經加密過後的信用卡資料儲存在伺服器上,就算駭客成功下載了信用卡資料,也只會看到一堆經過加密的數字。當然,將機密資料透過再加密的動作保存在伺服器上是件基本的事情,但使用者擔心個資沒有透過層層加密保護,也是很正常的反應。尤其在經歷這次的駭客事件後,這個問題更需要受到使用者的重視。
美參議員表示SCE應當負責
由於PSN的使用者數量龐大,包括信用卡在內的個資一旦遭到洩漏,很可能引發一連串問題。SCE應該早就知道個資外洩的情況有多嚴重,但在數天的「調查期間」中,他們缺乏與使用者的緊密聯繫,對於外界的質疑都是以「可能」、「我們不確定」以及「正在調查中」等含糊用語帶過。
針對SCE的處理方式,美國康乃狄克州議員理查‧布魯門索爾(Richard Blumenthal)發出一封信給美國SCE總裁Jack Tretton,以尖銳的口氣質疑SCE在處理此事件中的態度。
▲ 這位參議員搞不好也是 PS3 玩家。(圖片來源:IGN)
「在事件發生後Sony並未立即與可能受到影響的客戶聯繫,令我感到相當不滿。」信中表示「這種廣大的網路服務可能牽涉到許多個人隱私資料,還包括至關重大的財務資料,當這些資料遭到竊取時,消費者應當有權利立即知道他們的個人資料發生了什麼事情。」
布魯門索爾參議員建議在此事件後,SCE應該要提供兩年免費的PSN服務,當然,費用要由SCE自己負擔。你可以在布魯門索爾參議員的官方網站找到信件全文。
亡羊補牢,關閉PSN進行全面升級
PSN遭逢史上最嚴重的駭客攻擊事件後,許多人都將此事件與Anonymous駭客集團對Sony的警告連在一起。之前在Geohot破解PS3事件中,Anonymous駭客集團就曾經對Sony提出警告,指稱他們控告Geohot的行為違反人權自由,將透過駭客攻擊癱瘓PSN藉以「懲罰」 SCE,不過目前還沒有證據顯示Anonymous集團涉案。
不管幕後的黑手是誰,現在SCE正在進行亡羊補牢的工作,利用這段關機時間全面提升PSN的安全性。Xbox Live(以下簡稱XBL)這次並未遭到駭客的毒手,因此許多XBL使用者與PSN使用者在論壇上對安全問題針鋒相對,許多XBL使用者甚至尖銳地諷刺 SCE的防駭能力太差勁,讓許多PSN使用者為之氣結。
▲ 正式宣布 PSN 個資遭竊後,Sony的股票立即下跌。(圖片來源:日本經濟新聞)
不過每個人都應該知道:這個世界沒有100%安全的系統。SCE這次最大的問題就是沒有第一時間承認自己的錯誤,而是含糊其詞將問題帶過,直到事情難以掩蓋才將問題公開。想要粉飾太平是SCE在這次事件所犯的最大錯誤,而不是PSN的防護系統被駭客入侵。
【延伸閱讀】:PSN駭客事件,SCE恐付天價賠償金
