Zcizení osobních údajů z PSN potvrzeno

Kauza kolem nefunkční služby PlayStation Network nabírá každým dnem na obrátkách (náš pondělní článek). Včera Sony začalo obesílat 77 milionů uživatelů PSN s varováním, že jejich data byla zcizena. Podle nejnovějších zpráv z oficiálního PlayStation Blogu může PSN zůstat mimo provoz ještě celý další týden. Hráči by prý nyní měli být zvlášť obezřetní vůči emailům, telefonům či dopisům, které po nich budou požadovat soukromá data či informace.

"Zjistili jsme, že mezi 17-19. dubnem 2011 byla zcizena některá data uživatelů služeb PlayStation Network a Qriocity v souvislosti s ilegálním a neautorizovaným vpádem do naší sítě," napsalo Sony na oficiálním PlayStation Blogu.

"Stále vyšetřujeme podrobnosti, ale jsme přesvědčeni, že neoprávněná osoba ukradla tato uživatelská data: jméno, adresu (město, stát/provincii, poštovní směrovací číslo), zemi původu, emailovou adresu, datum narození, uživatelské jméno a heslo pro přístup na PlayStation Network a Qriocity, a online ID ze sluby PSN."

"Je také možné, že byla zcizena vaše profilová data včetně adresy na kreditní kartě, bezpečnostní otázky a odpovědi pro změnu hesla na PlayStation Network/Qriocity a historii nákupů. Ačkoliv o tom nemáme důkazy, nemůžeme také vyloučit, že stejným způsobem byla získána i citlivá data o kreditních kartách. Pokud jste je službám PSN nebo Qriocity poskytli, chceme vás varovat, že číslo vaší kreditní karty společně s bezpečnostním kódem a datem vypršení mohla být zcizena."

Jak uvedl server Giantbomb, velké bankovní firmy v USA ani EU zatím o úniku dat a následných škodách nebyly spraveny. Sony jim neposlala ani zběžné varování. Nejmenovaný pracovník jedné velké mezinárodní banky svým klientům doporučuje, aby si nechali okamžitě změnit čísla kreditních karet, datum jejich vypršení i bezpečnostní kódy CCV. Herní analytik Michael Pachter je nicméně přesvědčený, že i kdyby v USA došlo k odčerpávání a vykrádání účtů, banky ve spolupráci se Sony všechny škody uhradí. Ze strany Sony ovšem žádné takové ujištění zatím nepadlo, a to pro americké ani evropské hráče.

Rozčilení uživatelé PSN se teď ptají, proč Sony hráče nevarovalo už před týdnem, aby si mohli alespoň včas zkontrolovat výpisy z platebních karet nebo je dopředu zablokovat. "Je rozdíl mezi tím, kdy jsme zjistili únik jakýchsi neupřesněných dat a kdy jsme přišli na to, že mohlo dojít i k úniku citlivých dat [jako informací o platebních kartách]," vysvětlil dnes ráno Patrick Seybold ze Sony. K restaurování PSN si prý firma přizvala expertní odborníky a společně teď analyzují, jak hluboký mohl mít hackerský útok dopad. Sony slibuje, že pachatele dopadne.

Na internetu se mezitím objevil údajný přepis konverzace hackerů, kteří snadno rozluštili většinu příchozích i odchozích paketů ze služby PSN i komunikaci konzole s bezpečnostními servery na doméně playstation.net.

V přepisu chatu hackeři upozorňují, že Sony sbírá od svých uživatelů i nelegální data (např. model vaší televize a info o všech připojených zařízeních) a tvrdí, že na PlayStation Network se data o platebních kartách i hesla dříve ukládala bez jakéhokoliv šifrování. Při stažení hry z PSN zase podle hackerů stačilo lehce upravit cílový odkaz a šifrovaná data ze své konzole, abyste za titul nemuseli platit.

Na webu PSX Scene se včera objevila dále zpráva, že na PSN nějaký čas koloval hacknutý firmware jménem Rebug, který z PlayStationu 3 de facto udělal jakýsi otevřený dev kit a díky prosincovému hacku od Geohota hráčům dovoloval, aby si stahovali plné hry s falešnými údaji z platebních karet. Konzole se v tomto případě hlásila jako autorizovaný vývojářský stroj a obešla všechny bezpečnostní kontroly.

Sony už prý herním vývojářům oznámilo, že na PSN se od teď budou moci přihlásit pouze stroje s debugovým firmwarem verze 3.60 a výše, což by tyto informace potvrzovalo. Původní hackeři ani Geohot zřejmě neměli v úmyslu krást hráčům data nebo zveřejňovat informace o jejich bankovních účtech. Jakmile se ale firmware dostal na svět, spousta hráčů jej využila k tomu, aby si zdarma pořídili hry nebo navýšili kredit. Pokud je Sony odhalí, nejspíš je čeká mnohem víc než jen doživotní ban z celého PSN.

Nejmenovaný bzpečnostní analytik zmiňuje možnost, že celá kauza se zcizením bankovních údajů má ve skutečnosti jen zastřít něco jiného a mnohem cennějšího, co si hackeři z databáze Sony odnesli - třeba důležité údaje o infrastruktuře PSN, které by mohli v budoucnu použít k ještě drtivějším útokům.

Do celé kauzy se vložil také bývalý soudce a dnes americký senátor Richard Blumenthal, který napsal dopis šéfovi Sony Jacku Trettonovi. "Když dojde k prolomení ochrany dat, je zcela nezbytné, aby byli uživatelé okamžitě spraveni o tom, že jejich soukromá data mohla být zcizena. Uživatelé služby PSN si zaslouží víc informací o tom, kolik informací ze služby uteklo, stejně jako ujištění, že nedojde k úniku financí z jejich účtů," napsal Blumenthal.

Sony nyní v důsledku hackerského útoku nejspíš čeká odliv zákazníků. "Dopad tohoto případu může být mnohem větší, než je tomu u typických hackerských útoků," varuje bezpečnostní konsultant Graham Cluley a dodává,, že spousta lidí používá stejné heslo jako na PSN i na jiných službách.

Sony dnes v reakci na odcizená data a dlouhou nefunkčnost PSN klesly akcie na japonské burze o 0,2% na současnou hodnotu 2411 jenů. Naopak dnes posílily akcie Microsoftu, uvedla domácí stanice ČT24 ve své ekonomické rubrice, kde se kauze obsáhle věnovala.