索尼與黑客的較量

文/彭永清

索尼與黑客的較量

Sony vs Hackers

文/彭永清

2011年4月17日，日本索尼公司旗下子公司、游戲機和游戲軟件開發、制造與販售商——索尼電腦娛樂公司（Sony Computer Entertainment Inc.，簡稱為SCE）稱，該公司專為游戲機提供在線服務的“PlayStation Network”（簡稱PSN）和電影音樂服務系統“Qriocity”的登錄用戶信息被泄漏。26日，熱門網游“PlayStation3（PS3）”稱由于其服務器被黑客非法侵入，導致網民個人信息外泄。一時間，這起影響到約60個國家在線用戶的情報外泄事件令世界IT業大為震驚。索尼公司在與黑客的較量中暫時敗下陣來。

網民信息外泄事件震驚世界。德國，一位婦女在看索尼playstation網頁。（圖/IC）

到底誰是竊秘者？

泄漏原因是由于第三者非法登錄。從4月17日至19日，攻擊者非法登錄SCE的系統，將已經注冊的PNS和Qriocity用戶的個人資料盜走。雖說用戶個人信息從企業系統中泄漏出去的事件并不稀奇，但是這次泄漏事件與其他事件性質大不相同，因為其泄漏的個人信息數量可能是一個天文數字。

盡管SCE并不能確認目前為止的具體泄漏數量，但從最壞的結果來看，利用這些服務的約7700萬（北美3600萬人、歐洲3200萬人、包括日本在內的亞洲900萬人）個人用戶的資料可能已經被泄密。SCE公司稱，盡管這7700萬用戶并非全部通過信用卡登錄，但如果大部分用戶的個人信息已經泄漏的話，這將是有史以來最嚴重的“信用卡信息泄漏事件”。

從過去的案例來看，通過病毒入侵的方式來盜取用戶個人信息的方法較為普遍。此次事件之前最為嚴重的一次泄密事件是2005年6月美國信用卡情報處理公司“CardSystems Solutions”大約4000萬張信用卡信息被人盜取并泄漏。

事件發生后不久，SCE一些負責人就對美國媒體說明了信用卡信息是如何泄漏出去的。據稱，攻擊者可能是利用某個軟件的漏洞，通過病毒侵入“CardSystems Solutions”公司的情報系統，從而獲取了用戶秘密資料。這種通過病毒入侵電腦系統的方法被稱為高級持續性威脅（APT，Advanced Persistent Threats的簡稱）。

不過，確定非法入侵者要比確認非法入侵手段更難。如果不清楚作案手法的話，要確認罪犯就難上加難了。但一些專家列舉出一個特定的集團為犯罪“嫌疑人”——Anonymous集團。這是一個由網絡用戶構成的黑客集團，其具體身份不明。該集團所做的是一些諸如準備攻擊某些特定企業和組織的網站等的“抗議活動”。例如，它會通過大量數據來向攻擊對象的網站輸送病毒，并使其網站無法正常工作。

與其說Anonymous是一個固定的集團，還不如說它是“活動”的組織。除了主要成員外，其他人員似乎并不固定。通常，由主要成員決定攻擊對象并召集其他人員參與攻擊。人員聚齊后，由他們利用專門的病毒對指定網站進行攻擊，直到將其攻癱。2010年，Anonymous支持泄密網站“WikiLeaks”，不僅在網上公開了美國外交電文，而且還對已經停止向其提供服務的PayPal、Visa和Master信用卡等網站進行攻擊。

另外，Anonymous在2010～2011年突尼斯爆發的民主化運動“茉莉花革命”中也表現得非常活躍。由于反對突尼斯政府的信息管制，Anonymous不僅對政府網站予以攻擊，還篡改政府網站主頁，發表革命宣言書。2011年1至2月埃及發生反政府運動之際，Anonymous出于對埃及政府限制言論自由的政策不滿，也對政府及穆巴拉克總統的網站進行了攻擊。

4月，SCE公司也成了Anonymous的攻擊目標。起因是SCE在美國的法人起訴Anonymous一位技術人員。SCE公司法人稱該技術人員破解了PS3游戲的玩法并將之公布于網上，并于2011年1月將其起訴，告其侵犯著作權。隨即，Anonymous向SCE發出“宣戰布告”。盡管SCE與該技術人員于3月底和解，但Anonymous仍然于4月對PSN網站發起攻擊，使用戶無法登錄的時間長達20分鐘，而且還出現了20分鐘的混亂狀態。

由于Anonymous屢次出現這種攻擊門戶網站的情況，因此PSN和“Qriocity”用戶信息外泄事件一出現，人們就懷疑這很可能又是Anonymous所為。不過，4月24日Anonymous發表公開言論，宣稱此次非法登錄事件與之無關。實際上，此次非法登錄事件的手法與此前Anonymous對網站進行攻擊的手法大不相同。迄今為止，Anonymous的攻擊幾乎是通過眾多用戶向網站發送大量數據致網站無法正常運行的手法，并非以竊取個人信息為目的。因此，有人認為，盡管Anonymous有可能間接地參加了此次行動，但它是此次攻擊行動主謀的可能性極低。

另一種說法是黑客說。今年剛開始，索尼就與黑客集團展開了暗戰，這說明其聲稱的較為安全的游戲機發送服務和網絡服務的脆弱性。

事實上，許多人都被家庭用游戲機構成的網絡比電腦網絡更安全的“常識”所蒙蔽。由于電腦技術是公開的，要改變和侵入電腦系統非常容易，而各公司利用其固有技術開發的游戲機品種繁多且不公開，因此攻擊難度也更大。但是，此次事件令人意外地看到了它們脆弱的一面。

在在線游戲世界中，利用病毒等盜取信用卡賬號的現象頻頻發生。但是，由于讓家庭游戲機中毒需要非常復雜的操作程序，因此個人情報很難被竊取。而且，通過專用硬盤使用戶只局限于玩游戲的程度上，因此整個服務系統的安全性也可以得到保證。而對于電腦用戶的在線游戲，被盜的卡號往往會變為他人所用。但是，一旦非法使用PSN，硬盤（游戲機）也將可能永遠不能使用PSN。因此，PSN系統對非法入侵還是具有一定的抑制能力。此次信息泄漏事件由于是黑客非法入侵管理用戶的數據庫并將其外泄所致，所以，盡管PSN系統可以抑制來自外部的多個硬盤的入侵，但既然服務器這層防護墻被攻破，管理系統也就毫無防御作用可言了。美國蘋果和微軟公司盡管都向用戶提供網絡服務，但兩公司都是從最基本的軟件進行開發，可見其保密意識極高。許多IT界精英都懷疑說：“難道索尼基本軟件的安全性有問題嗎？”

2011年5月1日，索尼公司游戲業務CEO平井一夫就PSN平臺玩家個人信息被盜一事鞠躬致歉。（圖/IC）

索尼態度遭質疑

遭到質疑的不僅僅是索尼公司基本軟件的安全性。索尼公司在事發一周后才公布具體情況的態度，不僅遭到用戶的強烈譴責，而且還導致美國眾議院議員向索尼公司提交了質疑書。或許在豐田汽車索賠事件之后，索尼公司也將步其后塵。兩場商業丑聞加在一起，甚至有可能引發政治問題。

從20日起，用戶就無法登錄PSN和“Qriocity”的系統，于是，網站遭到黑客攻擊的傳言立刻流傳到網上。但是，索尼通過電子郵件告知用戶情報外泄卻過了一個多星期，這遭到網民的強烈批評。一位從PSN購買了10多套游戲軟件的30歲男性稱，“（將個人信息）公布在網上的惡劣行徑令人恐懼。讓我不敢馬上使用這些游戲軟件。”

據稱，SCE公司的主打游戲機PS3目前在全球的銷量超過了5000萬臺。而個人信息外泄無疑對這些用戶是巨大打擊。

27日，東京秋葉原一位游戲玩家甚至不敢相信事情是真的，他表示“個人信息如果被人惡意利用，后果不堪設想”。一位前來購物的千葉縣市川市的19歲大學生松井也對此感到擔心，他說：“兩三天以前聽朋友說‘不要上網’，當時我還認為是謠言。現在才知道果真如此。”松井于兩年前購買了一臺PSN游戲機，并很快通過網絡登錄，并每月從網絡下載軟件更新一次游戲。他說：“由于該款游戲機具有許多新功能，朋友們都在用。希望盡早恢復其安全性。”東京都品川區無業人員田口正雄（22歲）搖頭說，我還以為“PS3的保密性能非常高”，“盡管這次事件對我沒有造成什么損失，但網絡惡搞行為令人恐怖。我都不想再玩游戲了。”

數量最多的美國用戶對此次個人信息被曝光事件非常氣憤。要知道，在美國許多人哪怕是小到3～5美元的生活必需品都使用信用卡，因此對信用卡的安全管理特別敏感，更何況是個人信息被泄漏出去。因此，索尼此次可謂是捅了一個“馬蜂窩”，不僅讓美國用戶對其產生不信任，而且還無法預知問題將如何處理才能令這些用戶滿意。

處理豐田大規模召回事件的美國眾議院能源商業委員會事發后立即向索尼公司遞交了質詢疑書。據負責遞交質疑書的宣傳官員稱，“我們不能忽視數百萬美國消費者對自己信用卡信息被竊取的擔憂。”同時，美方要求索尼公司盡快給予答復。而與美國議會表現不同的是，康涅狄格州司法部長杰普森深表擔憂，他說：“我對索尼公司采取對策的有效性感到懷疑。”另外，一些用戶由于個人信息處理發生問題也向法院起訴索尼公司。一時間，索尼公司成為眾矢之的，如果其對策稍有不慎，不僅將對其在北美這個幾乎占其總銷售額1/4的巨大市場的利益產生直接的影響，而且還可能因受害者人數巨大造成世界范圍的“脫離索尼”后果。

熟知網絡犯罪的甲南大學法學研究生院教授園田壽指出，“企業一旦保存如此數量的個人信息，又出現此次事件一樣的問題，那它的聲譽將無法挽回。”索尼公司在處理緊急事態時表現出來的態度，令人想到東京電力公司在處理核電站事故時的表現。

賠償高達2萬億日元

個人信息外泄、應急時的糟糕表現，不僅令索尼公司備受指責，而且還要承擔巨額賠償，可謂一波未平，一波又起。據美國《華爾街日報》稱，索尼公司不僅要為此次“歷史上最為惡劣的情報泄露事件”付出超過2萬億日元的高昂代價，而且還不可避免地被追究經營責任，它將面臨前所未有的危機。

日本約有900萬名在線用戶，此次信息外泄對日本企業來說是過去以來最大的，其賠償金額也將數字巨大。據稱，被外泄的個人信息包括姓名、住址、郵箱賬號、生日和密碼等。SCE公司稱，“不排除”個人信用卡賬號和有效期限外泄的可能性，并呼吁網民就信用卡的使用經歷進行“定期確認”。

研究IT犯罪的紀藤正樹博士指出，“損害賠償額因泄漏情報的價值而改變。住址和電話號碼、卡號等基本情報的泄漏，每人可以得到5000至10000日元的賠償，但泄漏的信息關乎個人名譽的話，賠償金額就會成倍增加。”紀藤還說：“日本的美容相關企業如果出現賠償事件，每位受害者平均可得到30000日元的賠償，如果按照這個標準來賠償的話，索尼公司可能要向所有用戶賠付總共2萬億日元以上。”

受害者以美國用戶居多。4月27日，美國一居住在阿拉巴馬州的男性用戶向加利弗尼亞州法院起訴SCE公司。該男性稱，索尼公司在對用戶個人信息保密上疏于管理，要求索尼公司賠償并無償對其信用卡賬號進行調查。同時他還說，索尼公司沒有及時向用戶傳達情報，使用戶無法變更卡號并避免信息外泄，需要承擔完全責任。他同時呼吁用戶起來進行集團訴訟，并要求索尼公司作出賠償。

盡管在美國這個‘訴訟國家’起訴，索尼公司可能要支付更多的賠償金，但紀藤說：“在美國，與個人信息泄漏相關的損害賠償請求并不多。”但是，據一位IT負責人說，即使美國方面沒有提出訴訟請求，包括道歉等在內的事后處理費用也不是個小數目，僅簡單計算一下，平均每位登錄者“至少需要5000日元”，也就是說，索尼公司將為近7700萬名用戶支付高達4000億日元的賠款。另外，IT記者井上年行指出，可能還有出現其他方式的賠償。他說：“停止在線游戲服務，（用戶）使用虛擬貨幣無法挽救數據時，恐怕會向服務方提出賠償請求。”

對于網游業來說，信息泄漏造成的影響無法預測。將游戲機、電視和攜帶終端等硬件與網絡相連，并且向用戶提供電影、音樂和游戲等類型的信息服務，是索尼公司目前最為看重的戰略。主要負責此項經營的是50歲的SCE社長平井一夫。由于SCE希望采取這一有力手段與先行一步的美國蘋果公司競爭市場份額，因此索尼公司也對SCE提供了最大支持。但是，這一旨在擴大經營范圍的網絡戰略卻在未達到目的前出現了個人情報外泄的事件，令消費者喪失信任，也使索尼公司的事業前景也蒙上一層陰影。

更為嚴重的是SCE對情報公開的“姿態”。該公司在4月21日停止了PSN的服務只說是因為“系統障礙”，而且，該公司在27日公布情報外泄的同時還聲明，“26日要發表一款新的、可以與蘋果抗衡的平板終端。難道不應該期待這一新產品的發表嗎？”從此可以看出，SCE公司注重自身利益重于用戶。據井上稱，也正因如此，“事件的處理如果時間拉長，將影響到索尼與蘋果下一代網游老大的地位之爭”。

5月1日，SCE表示一周內將重新開通一部分游戲，月底將全面開通。而對于約7700萬會員的賠償問題，SCE公司表示將考慮采取部分游戲和音樂免費的方式。平井一夫在東京都內總部舉行的記者招待會上就泄密一事向用戶道歉，說此次黑客入侵事件是“擁有先進技術服務器恐怖行為”，并表示希望美國聯邦調查局對此案進行調查。平井在提到今后的經營方針時強調說，“網絡戰略是索尼集團最重要的戰略”，“要進一步強化集團全體工作人員的情報管理體制”。

就SCE公司遲遲未向用戶發出問題通知，遭到美國用戶和參議院也向國會提交了質詢一事，平井解釋說：“這是由于處理龐大的數據需要花時間，再就是希望盡可能向用戶提供準確的情報。”

SCE行將何處？

導致此次網絡用戶個人信息外泄事件的另一個重要原因是索尼組織上存在缺陷。有人指出，“（索尼公司）組織僵硬，垂直管理的行政機制帶來的弊端導致了此次最壞的局面。情報公示的遲滯和不準確，態度就像東京電力公司一樣。”不過，對于一個經營快30年的老牌公司來說，組織上存在一定的老化現象在所難免。因此說，包括在游戲業的任何企業，都難保出現索尼公司這樣的問題。而且，在游戲業界，許多企業都要預留個人信息。所以，無論哪個企業都要防止索尼事件在自己身上重現。只有這樣，企業才能對用戶信息進行有效保密，也才能贏得用戶的依賴，SCE也同樣。

對于此次個人信息外泄事件，沒有人比平井更沮喪。這位索尼公司的元老級人物，從PS游戲初期的1995年開始一直致力于開拓美國市場。由于其出色業績，被業界尊稱為“Kaz(‘一夫’的英文簡稱)”，并使SCE在美國牢牢站住腳跟。因此，資料外泄事件對于早已與SCE榮辱與共、結下深厚感情的平井來說無疑是個沉重的打擊。

在記者招待會上，平井始終保持著低頭謝罪的態度。他說：“家用游戲機制造銷售公司制作出安全而有效的系統，是迎合軟件商和用戶的最好辦法。剽竊（使用戶資料外泄）行為是對游戲制造者的挑戰，它將對游戲行業基礎造成巨大破壞。我們應該嚴陣以待。”

然而，索尼如果想解決問題，從SCE的歷史來看，平井似乎是處理此次問題的不二人選。平井說：“用戶對網絡服務商寄予依賴是最重要的。再次贏得用戶依賴是索尼必須認真考慮的事。如若不然，索尼的未來將一片漆黑。”全世界的用戶和軟件商都密切注視著索尼的動向。■

編輯：陳暢鳴 charmingchin@163.com