文/彭永清

索尼與黑客的較量

Sony vs Hackers

文/彭永清

2011年4月17日，日本索尼公司旗下子公司、游戲機(jī)和游戲軟件開發(fā)、制造與販?zhǔn)凵獭髂犭娔X娛樂公司（Sony Computer Entertainment Inc.，簡稱為SCE）稱，該公司專為游戲機(jī)提供在線服務(wù)的“PlayStation Network”（簡稱PSN）和電影音樂服務(wù)系統(tǒng)“Qriocity”的登錄用戶信息被泄漏。26日，熱門網(wǎng)游“PlayStation3（PS3）”稱由于其服務(wù)器被黑客非法侵入，導(dǎo)致網(wǎng)民個(gè)人信息外泄。一時(shí)間，這起影響到約60個(gè)國家在線用戶的情報(bào)外泄事件令世界IT業(yè)大為震驚。索尼公司在與黑客的較量中暫時(shí)敗下陣來。

網(wǎng)民信息外泄事件震驚世界。德國，一位婦女在看索尼playstation網(wǎng)頁。（圖/IC）

到底誰是竊秘者？

泄漏原因是由于第三者非法登錄。從4月17日至19日，攻擊者非法登錄SCE的系統(tǒng)，將已經(jīng)注冊的PNS和Qriocity用戶的個(gè)人資料盜走。雖說用戶個(gè)人信息從企業(yè)系統(tǒng)中泄漏出去的事件并不稀奇，但是這次泄漏事件與其他事件性質(zhì)大不相同，因?yàn)槠湫孤┑膫€(gè)人信息數(shù)量可能是一個(gè)天文數(shù)字。

盡管SCE并不能確認(rèn)目前為止的具體泄漏數(shù)量，但從最壞的結(jié)果來看，利用這些服務(wù)的約7700萬（北美3600萬人、歐洲3200萬人、包括日本在內(nèi)的亞洲900萬人）個(gè)人用戶的資料可能已經(jīng)被泄密。SCE公司稱，盡管這7700萬用戶并非全部通過信用卡登錄，但如果大部分用戶的個(gè)人信息已經(jīng)泄漏的話，這將是有史以來最嚴(yán)重的“信用卡信息泄漏事件”。

從過去的案例來看，通過病毒入侵的方式來盜取用戶個(gè)人信息的方法較為普遍。此次事件之前最為嚴(yán)重的一次泄密事件是2005年6月美國信用卡情報(bào)處理公司“CardSystems Solutions”大約4000萬張信用卡信息被人盜取并泄漏。

事件發(fā)生后不久，SCE一些負(fù)責(zé)人就對(duì)美國媒體說明了信用卡信息是如何泄漏出去的。據(jù)稱，攻擊者可能是利用某個(gè)軟件的漏洞，通過病毒侵入“CardSystems Solutions”公司的情報(bào)系統(tǒng)，從而獲取了用戶秘密資料。這種通過病毒入侵電腦系統(tǒng)的方法被稱為高級(jí)持續(xù)性威脅（APT，Advanced Persistent Threats的簡稱）。

不過，確定非法入侵者要比確認(rèn)非法入侵手段更難。如果不清楚作案手法的話，要確認(rèn)罪犯就難上加難了。但一些專家列舉出一個(gè)特定的集團(tuán)為犯罪“嫌疑人”——Anonymous集團(tuán)。這是一個(gè)由網(wǎng)絡(luò)用戶構(gòu)成的黑客集團(tuán)，其具體身份不明。該集團(tuán)所做的是一些諸如準(zhǔn)備攻擊某些特定企業(yè)和組織的網(wǎng)站等的“抗議活動(dòng)”。例如，它會(huì)通過大量數(shù)據(jù)來向攻擊對(duì)象的網(wǎng)站輸送病毒，并使其網(wǎng)站無法正常工作。

與其說Anonymous是一個(gè)固定的集團(tuán)，還不如說它是“活動(dòng)”的組織。除了主要成員外，其他人員似乎并不固定。通常，由主要成員決定攻擊對(duì)象并召集其他人員參與攻擊。人員聚齊后，由他們利用專門的病毒對(duì)指定網(wǎng)站進(jìn)行攻擊，直到將其攻癱。2010年，Anonymous支持泄密網(wǎng)站“WikiLeaks”，不僅在網(wǎng)上公開了美國外交電文，而且還對(duì)已經(jīng)停止向其提供服務(wù)的PayPal、Visa和Master信用卡等網(wǎng)站進(jìn)行攻擊。

另外，Anonymous在2010～2011年突尼斯爆發(fā)的民主化運(yùn)動(dòng)“茉莉花革命”中也表現(xiàn)得非常活躍。由于反對(duì)突尼斯政府的信息管制，Anonymous不僅對(duì)政府網(wǎng)站予以攻擊，還篡改政府網(wǎng)站主頁，發(fā)表革命宣言書。2011年1至2月埃及發(fā)生反政府運(yùn)動(dòng)之際，Anonymous出于對(duì)埃及政府限制言論自由的政策不滿，也對(duì)政府及穆巴拉克總統(tǒng)的網(wǎng)站進(jìn)行了攻擊。

4月，SCE公司也成了Anonymous的攻擊目標(biāo)。起因是SCE在美國的法人起訴Anonymous一位技術(shù)人員。SCE公司法人稱該技術(shù)人員破解了PS3游戲的玩法并將之公布于網(wǎng)上，并于2011年1月將其起訴，告其侵犯著作權(quán)。隨即，Anonymous向SCE發(fā)出“宣戰(zhàn)布告”。盡管SCE與該技術(shù)人員于3月底和解，但Anonymous仍然于4月對(duì)PSN網(wǎng)站發(fā)起攻擊，使用戶無法登錄的時(shí)間長達(dá)20分鐘，而且還出現(xiàn)了20分鐘的混亂狀態(tài)。

由于Anonymous屢次出現(xiàn)這種攻擊門戶網(wǎng)站的情況，因此PSN和“Qriocity”用戶信息外泄事件一出現(xiàn)，人們就懷疑這很可能又是Anonymous所為。不過，4月24日Anonymous發(fā)表公開言論，宣稱此次非法登錄事件與之無關(guān)。實(shí)際上，此次非法登錄事件的手法與此前Anonymous對(duì)網(wǎng)站進(jìn)行攻擊的手法大不相同。迄今為止，Anonymous的攻擊幾乎是通過眾多用戶向網(wǎng)站發(fā)送大量數(shù)據(jù)致網(wǎng)站無法正常運(yùn)行的手法，并非以竊取個(gè)人信息為目的。因此，有人認(rèn)為，盡管Anonymous有可能間接地參加了此次行動(dòng)，但它是此次攻擊行動(dòng)主謀的可能性極低。

另一種說法是黑客說。今年剛開始，索尼就與黑客集團(tuán)展開了暗戰(zhàn)，這說明其聲稱的較為安全的游戲機(jī)發(fā)送服務(wù)和網(wǎng)絡(luò)服務(wù)的脆弱性。

事實(shí)上，許多人都被家庭用游戲機(jī)構(gòu)成的網(wǎng)絡(luò)比電腦網(wǎng)絡(luò)更安全的“常識(shí)”所蒙蔽。由于電腦技術(shù)是公開的，要改變和侵入電腦系統(tǒng)非常容易，而各公司利用其固有技術(shù)開發(fā)的游戲機(jī)品種繁多且不公開，因此攻擊難度也更大。但是，此次事件令人意外地看到了它們脆弱的一面。

在在線游戲世界中，利用病毒等盜取信用卡賬號(hào)的現(xiàn)象頻頻發(fā)生。但是，由于讓家庭游戲機(jī)中毒需要非常復(fù)雜的操作程序，因此個(gè)人情報(bào)很難被竊取。而且，通過專用硬盤使用戶只局限于玩游戲的程度上，因此整個(gè)服務(wù)系統(tǒng)的安全性也可以得到保證。而對(duì)于電腦用戶的在線游戲，被盜的卡號(hào)往往會(huì)變?yōu)樗怂?。但是，一旦非法使用PSN，硬盤（游戲機(jī)）也將可能永遠(yuǎn)不能使用PSN。因此，PSN系統(tǒng)對(duì)非法入侵還是具有一定的抑制能力。此次信息泄漏事件由于是黑客非法入侵管理用戶的數(shù)據(jù)庫并將其外泄所致，所以，盡管PSN系統(tǒng)可以抑制來自外部的多個(gè)硬盤的入侵，但既然服務(wù)器這層防護(hù)墻被攻破，管理系統(tǒng)也就毫無防御作用可言了。美國蘋果和微軟公司盡管都向用戶提供網(wǎng)絡(luò)服務(wù)，但兩公司都是從最基本的軟件進(jìn)行開發(fā)，可見其保密意識(shí)極高。許多IT界精英都懷疑說：“難道索尼基本軟件的安全性有問題嗎？”

2011年5月1日，索尼公司游戲業(yè)務(wù)CEO平井一夫就PSN平臺(tái)玩家個(gè)人信息被盜一事鞠躬致歉。（圖/IC）

索尼態(tài)度遭質(zhì)疑

遭到質(zhì)疑的不僅僅是索尼公司基本軟件的安全性。索尼公司在事發(fā)一周后才公布具體情況的態(tài)度，不僅遭到用戶的強(qiáng)烈譴責(zé)，而且還導(dǎo)致美國眾議院議員向索尼公司提交了質(zhì)疑書。或許在豐田汽車索賠事件之后，索尼公司也將步其后塵。兩場商業(yè)丑聞加在一起，甚至有可能引發(fā)政治問題。

從20日起，用戶就無法登錄PSN和“Qriocity”的系統(tǒng)，于是，網(wǎng)站遭到黑客攻擊的傳言立刻流傳到網(wǎng)上。但是，索尼通過電子郵件告知用戶情報(bào)外泄卻過了一個(gè)多星期，這遭到網(wǎng)民的強(qiáng)烈批評(píng)。一位從PSN購買了10多套游戲軟件的30歲男性稱，“（將個(gè)人信息）公布在網(wǎng)上的惡劣行徑令人恐懼。讓我不敢馬上使用這些游戲軟件?！?/p>

據(jù)稱，SCE公司的主打游戲機(jī)PS3目前在全球的銷量超過了5000萬臺(tái)。而個(gè)人信息外泄無疑對(duì)這些用戶是巨大打擊。

27日，東京秋葉原一位游戲玩家甚至不敢相信事情是真的，他表示“個(gè)人信息如果被人惡意利用，后果不堪設(shè)想”。一位前來購物的千葉縣市川市的19歲大學(xué)生松井也對(duì)此感到擔(dān)心，他說：“兩三天以前聽朋友說‘不要上網(wǎng)’，當(dāng)時(shí)我還認(rèn)為是謠言?，F(xiàn)在才知道果真如此?！彼删趦赡昵百徺I了一臺(tái)PSN游戲機(jī)，并很快通過網(wǎng)絡(luò)登錄，并每月從網(wǎng)絡(luò)下載軟件更新一次游戲。他說：“由于該款游戲機(jī)具有許多新功能，朋友們都在用。希望盡早恢復(fù)其安全性?！睎|京都品川區(qū)無業(yè)人員田口正雄（22歲）搖頭說，我還以為“PS3的保密性能非常高”，“盡管這次事件對(duì)我沒有造成什么損失，但網(wǎng)絡(luò)惡搞行為令人恐怖。我都不想再玩游戲了?！?/p>

數(shù)量最多的美國用戶對(duì)此次個(gè)人信息被曝光事件非常氣憤。要知道，在美國許多人哪怕是小到3～5美元的生活必需品都使用信用卡，因此對(duì)信用卡的安全管理特別敏感，更何況是個(gè)人信息被泄漏出去。因此，索尼此次可謂是捅了一個(gè)“馬蜂窩”，不僅讓美國用戶對(duì)其產(chǎn)生不信任，而且還無法預(yù)知問題將如何處理才能令這些用戶滿意。

處理豐田大規(guī)模召回事件的美國眾議院能源商業(yè)委員會(huì)事發(fā)后立即向索尼公司遞交了質(zhì)詢疑書。據(jù)負(fù)責(zé)遞交質(zhì)疑書的宣傳官員稱，“我們不能忽視數(shù)百萬美國消費(fèi)者對(duì)自己信用卡信息被竊取的擔(dān)憂?！蓖瑫r(shí)，美方要求索尼公司盡快給予答復(fù)。而與美國議會(huì)表現(xiàn)不同的是，康涅狄格州司法部長杰普森深表擔(dān)憂，他說：“我對(duì)索尼公司采取對(duì)策的有效性感到懷疑?！绷硗?，一些用戶由于個(gè)人信息處理發(fā)生問題也向法院起訴索尼公司。一時(shí)間，索尼公司成為眾矢之的，如果其對(duì)策稍有不慎，不僅將對(duì)其在北美這個(gè)幾乎占其總銷售額1/4的巨大市場的利益產(chǎn)生直接的影響，而且還可能因受害者人數(shù)巨大造成世界范圍的“脫離索尼”后果。

熟知網(wǎng)絡(luò)犯罪的甲南大學(xué)法學(xué)研究生院教授園田壽指出，“企業(yè)一旦保存如此數(shù)量的個(gè)人信息，又出現(xiàn)此次事件一樣的問題，那它的聲譽(yù)將無法挽回。”索尼公司在處理緊急事態(tài)時(shí)表現(xiàn)出來的態(tài)度，令人想到東京電力公司在處理核電站事故時(shí)的表現(xiàn)。

賠償高達(dá)2萬億日元

個(gè)人信息外泄、應(yīng)急時(shí)的糟糕表現(xiàn)，不僅令索尼公司備受指責(zé)，而且還要承擔(dān)巨額賠償，可謂一波未平，一波又起。據(jù)美國《華爾街日?qǐng)?bào)》稱，索尼公司不僅要為此次“歷史上最為惡劣的情報(bào)泄露事件”付出超過2萬億日元的高昂代價(jià)，而且還不可避免地被追究經(jīng)營責(zé)任，它將面臨前所未有的危機(jī)。

日本約有900萬名在線用戶，此次信息外泄對(duì)日本企業(yè)來說是過去以來最大的，其賠償金額也將數(shù)字巨大。據(jù)稱，被外泄的個(gè)人信息包括姓名、住址、郵箱賬號(hào)、生日和密碼等。SCE公司稱，“不排除”個(gè)人信用卡賬號(hào)和有效期限外泄的可能性，并呼吁網(wǎng)民就信用卡的使用經(jīng)歷進(jìn)行“定期確認(rèn)”。

研究IT犯罪的紀(jì)藤正樹博士指出，“損害賠償額因泄漏情報(bào)的價(jià)值而改變。住址和電話號(hào)碼、卡號(hào)等基本情報(bào)的泄漏，每人可以得到5000至10000日元的賠償，但泄漏的信息關(guān)乎個(gè)人名譽(yù)的話，賠償金額就會(huì)成倍增加?！奔o(jì)藤還說：“日本的美容相關(guān)企業(yè)如果出現(xiàn)賠償事件，每位受害者平均可得到30000日元的賠償，如果按照這個(gè)標(biāo)準(zhǔn)來賠償?shù)脑挘髂峁究赡芤蛩杏脩糍r付總共2萬億日元以上。”

受害者以美國用戶居多。4月27日，美國一居住在阿拉巴馬州的男性用戶向加利弗尼亞州法院起訴SCE公司。該男性稱，索尼公司在對(duì)用戶個(gè)人信息保密上疏于管理，要求索尼公司賠償并無償對(duì)其信用卡賬號(hào)進(jìn)行調(diào)查。同時(shí)他還說，索尼公司沒有及時(shí)向用戶傳達(dá)情報(bào)，使用戶無法變更卡號(hào)并避免信息外泄，需要承擔(dān)完全責(zé)任。他同時(shí)呼吁用戶起來進(jìn)行集團(tuán)訴訟，并要求索尼公司作出賠償。

盡管在美國這個(gè)‘訴訟國家’起訴，索尼公司可能要支付更多的賠償金，但紀(jì)藤說：“在美國，與個(gè)人信息泄漏相關(guān)的損害賠償請(qǐng)求并不多?！钡?，據(jù)一位IT負(fù)責(zé)人說，即使美國方面沒有提出訴訟請(qǐng)求，包括道歉等在內(nèi)的事后處理費(fèi)用也不是個(gè)小數(shù)目，僅簡單計(jì)算一下，平均每位登錄者“至少需要5000日元”，也就是說，索尼公司將為近7700萬名用戶支付高達(dá)4000億日元的賠款。另外，IT記者井上年行指出，可能還有出現(xiàn)其他方式的賠償。他說：“停止在線游戲服務(wù)，（用戶）使用虛擬貨幣無法挽救數(shù)據(jù)時(shí)，恐怕會(huì)向服務(wù)方提出賠償請(qǐng)求?！?/p>

對(duì)于網(wǎng)游業(yè)來說，信息泄漏造成的影響無法預(yù)測。將游戲機(jī)、電視和攜帶終端等硬件與網(wǎng)絡(luò)相連，并且向用戶提供電影、音樂和游戲等類型的信息服務(wù)，是索尼公司目前最為看重的戰(zhàn)略。主要負(fù)責(zé)此項(xiàng)經(jīng)營的是50歲的SCE社長平井一夫。由于SCE希望采取這一有力手段與先行一步的美國蘋果公司競爭市場份額，因此索尼公司也對(duì)SCE提供了最大支持。但是，這一旨在擴(kuò)大經(jīng)營范圍的網(wǎng)絡(luò)戰(zhàn)略卻在未達(dá)到目的前出現(xiàn)了個(gè)人情報(bào)外泄的事件，令消費(fèi)者喪失信任，也使索尼公司的事業(yè)前景也蒙上一層陰影。

更為嚴(yán)重的是SCE對(duì)情報(bào)公開的“姿態(tài)”。該公司在4月21日停止了PSN的服務(wù)只說是因?yàn)椤跋到y(tǒng)障礙”，而且，該公司在27日公布情報(bào)外泄的同時(shí)還聲明，“26日要發(fā)表一款新的、可以與蘋果抗衡的平板終端。難道不應(yīng)該期待這一新產(chǎn)品的發(fā)表嗎？”從此可以看出，SCE公司注重自身利益重于用戶。據(jù)井上稱，也正因如此，“事件的處理如果時(shí)間拉長，將影響到索尼與蘋果下一代網(wǎng)游老大的地位之爭”。

5月1日，SCE表示一周內(nèi)將重新開通一部分游戲，月底將全面開通。而對(duì)于約7700萬會(huì)員的賠償問題，SCE公司表示將考慮采取部分游戲和音樂免費(fèi)的方式。平井一夫在東京都內(nèi)總部舉行的記者招待會(huì)上就泄密一事向用戶道歉，說此次黑客入侵事件是“擁有先進(jìn)技術(shù)服務(wù)器恐怖行為”，并表示希望美國聯(lián)邦調(diào)查局對(duì)此案進(jìn)行調(diào)查。平井在提到今后的經(jīng)營方針時(shí)強(qiáng)調(diào)說，“網(wǎng)絡(luò)戰(zhàn)略是索尼集團(tuán)最重要的戰(zhàn)略”，“要進(jìn)一步強(qiáng)化集團(tuán)全體工作人員的情報(bào)管理體制”。

就SCE公司遲遲未向用戶發(fā)出問題通知，遭到美國用戶和參議院也向國會(huì)提交了質(zhì)詢一事，平井解釋說：“這是由于處理龐大的數(shù)據(jù)需要花時(shí)間，再就是希望盡可能向用戶提供準(zhǔn)確的情報(bào)。”

SCE行將何處？

導(dǎo)致此次網(wǎng)絡(luò)用戶個(gè)人信息外泄事件的另一個(gè)重要原因是索尼組織上存在缺陷。有人指出，“（索尼公司）組織僵硬，垂直管理的行政機(jī)制帶來的弊端導(dǎo)致了此次最壞的局面。情報(bào)公示的遲滯和不準(zhǔn)確，態(tài)度就像東京電力公司一樣。”不過，對(duì)于一個(gè)經(jīng)營快30年的老牌公司來說，組織上存在一定的老化現(xiàn)象在所難免。因此說，包括在游戲業(yè)的任何企業(yè)，都難保出現(xiàn)索尼公司這樣的問題。而且，在游戲業(yè)界，許多企業(yè)都要預(yù)留個(gè)人信息。所以，無論哪個(gè)企業(yè)都要防止索尼事件在自己身上重現(xiàn)。只有這樣，企業(yè)才能對(duì)用戶信息進(jìn)行有效保密，也才能贏得用戶的依賴，SCE也同樣。

對(duì)于此次個(gè)人信息外泄事件，沒有人比平井更沮喪。這位索尼公司的元老級(jí)人物，從PS游戲初期的1995年開始一直致力于開拓美國市場。由于其出色業(yè)績，被業(yè)界尊稱為“Kaz(‘一夫’的英文簡稱)”，并使SCE在美國牢牢站住腳跟。因此，資料外泄事件對(duì)于早已與SCE榮辱與共、結(jié)下深厚感情的平井來說無疑是個(gè)沉重的打擊。

在記者招待會(huì)上，平井始終保持著低頭謝罪的態(tài)度。他說：“家用游戲機(jī)制造銷售公司制作出安全而有效的系統(tǒng)，是迎合軟件商和用戶的最好辦法。剽竊（使用戶資料外泄）行為是對(duì)游戲制造者的挑戰(zhàn)，它將對(duì)游戲行業(yè)基礎(chǔ)造成巨大破壞。我們應(yīng)該嚴(yán)陣以待。”

然而，索尼如果想解決問題，從SCE的歷史來看，平井似乎是處理此次問題的不二人選。平井說：“用戶對(duì)網(wǎng)絡(luò)服務(wù)商寄予依賴是最重要的。再次贏得用戶依賴是索尼必須認(rèn)真考慮的事。如若不然，索尼的未來將一片漆黑。”全世界的用戶和軟件商都密切注視著索尼的動(dòng)向?！?/p>

編輯：陳暢鳴 charmingchin@163.com