索尼PSN网络被黑泄密，我们该小心什么？

　　2021年4月26日，索尼在“游戏站”博客发布通告，称黑客侵入旗下“游戏站”和云音乐服务Qriocity网络，窃取大量用户个人信息，包括姓名、地址、电子邮箱、出生日期、登录名、登录密码、登录记录、密码安全问题等，受影响用户大约7800万。最让人难以置信的是，索尼被黑造成PSN服务中断，已经将近一个月的时间。

 

 

　　5月3日，索尼三位最高执行长官平井一夫（KazuoHirai），Shinji Hasejima 和 Shiro Kambe 在就索尼PSN网络遭攻击，导致用户数据大规模外泄问题召开的新闻发布会上向广大用户致歉。而三位高层也为此鞠躬致歉达7秒之久。“我们为（黑客袭击）造成的不便感到深深的歉意，”平井说。同时，索尼的股价也因为此次严重事件而下跌了5.2%之多！

 

 

　　传说索尼被黑的起因

 

 

　　今年2月份，索尼起诉著名的黑客乔治·霍兹（GeorgeHotz），他以成功“越狱”苹果iPhone而著名。索尼指控霍兹违反了美国《数字千年版权法案》（DMCA），对PS3游戏机进行非法“越狱”破解尝试。

 

 

　　2020年年底，霍兹破解了索尼的PS3的系统，并且在Youtube上发表了如何破解的步骤。索尼令其立即停止发布破解方法，并通过法院起诉，责令霍兹上交电脑，搜查他的硬盘，这一举动激怒了包括霍兹在内的许多黑客。

 

 

　　美国媒体报道，为了和索尼打官司，霍兹已经倾家荡产，只能通过网上募捐的方式来支持诉讼。2021年4月，为了躲避追捕，逃亡南美的霍兹终于与索尼达成和解。但是，和解协议被媒体曝光，协议中霍兹保证不再针对索尼主机从事破解活动，后者则答应就此罢手不再追究。

 

 

　　虽然看上去不分胜负，但实际上双方对这个结果都不满意，索尼的打击破解活动并未取得计划的成效，而霍兹则生气地表示从此再不买索尼的任何产品。

 

 

　　这件曾轰动一时的案件过后，很多黑客集团站了出来，表示要代表包括霍兹在内的所有黑客与索尼周旋到底，保护互联网上的“言论自由和分享自由”。

 

 

　　索尼被黑之后

 

 

　　有业内媒体报道，索尼公司的PlayStation Network近日遇到的网络故障已经开始对索尼造成明显的负面影响。据悉，一些英国的游戏零售商表示，很多PS3的用户对不能进行联网下载游戏已经表现得越来越不耐烦了，而用户的这种不满情绪则直接导致了PS3游戏机销量的下降和PS3退换率的升高，而直接受益者则是微软Xbox 360。

 

 

　　据一位游戏机零售商经理透露，近日PS3游戏机的折旧退货率暴增超过200%，而超过半数的消费者都是将PS3折价退货以后，转身就购买了Xbox 360，另一些消费者则是拿了退款走人。而这样的PS3退货现象也在其他的一些游戏机销售商店里频频出现，许多对索尼不满的游戏玩家纷纷改投他家，选择了微软的Xbox 360，特别是那些热衷于在线枪战的狂热游戏迷，退货的呼声那是一阵高过一阵。

 

 

　　据日本共同社5月10日消息，有关索尼在线游戏用户个人信息泄露问题，索尼电脑娱乐公司（SCE）9日透露，已确认索尼美国子公司约2460万名网络游戏用户的姓名、地址、电话号码等个人信息遭到泄露。此前，福布斯杂志推测索尼被黑造成的经济损失可能高达240亿美元。

 

 

　　曾有黑客组织声称出售手中一部分含有用户信用卡记录和CVV码的用户资料，但这一信息未得到索尼方面证实。索尼称，信用卡数据经过加密，但个人用户资料未经加密，致使部分用户担忧未来可能出现的情况。 索尼的数据加密，强度有多高，有没有被黑客破解的可能性，尚不得而知。

 

 

　　业界专家分析索尼被黑的技术背景

 

[page]

　　索尼的系统到底是什么原因被黑客攻破的，至今没有见到清晰的报告问世。北京时间5月6日消息，据国外媒体报道，普渡大学（Purdue University）安全专家吉恩·斯帕福德（Gene Spafford）周三对国会表示，安全专家知道索尼使用过时的Apache Web服务器软件，该软件并没有安装防火墙。索尼表示，当公司抵御来自于黑客组织Anonymous拒绝服务式攻击（DoS）的同时，一些黑客入侵了PSN网络，窃取了敏感的数据信息。

 

 

　　但索尼方面断然否认了斯塔福德的说法，其他安全专家在采访中，也对索尼是否采取了一切必要措施防止PSN网络遭到黑客攻击表示怀疑。美国信息系统安全协会洛杉矶分部负责人斯坦·斯塔尔（Stan Stahl）说：“根据我的判断，这件事很大程度上本来可以避免。”虽然斯塔尔并没有直接参与PSN数据泄密事件调查，但经验告诉他，索尼的安全措施过时了。

 

 

　　斯塔尔指出，索尼将这次PSN数据泄密事件部分归咎于早前一次服务拒绝攻击，那次攻击有意或无意削弱了PSN网络预防更大规模入侵的能力。斯塔尔对这种攻击策略了如指掌，大概八年前他采用相同策略入侵一家水务公司的网站，以检验该公司网站的安全性。

 

 

　　美国网络服务商Akamai游戏战略部门主任克里斯·亚历山大（Kris Alexander）说，黑客经常会对公司网站发起多轮攻击，针对索尼的攻击事件就是典型例证。IT咨询公司Hawkthorne Group CEO迈克·梅克尔（Mike Meikle）也批评了索尼的做法，称正是对待黑客攻击漫不经心的态度，才使索尼未能提前做好防范工作。

 

 

　　索尼在遭黑客攻击五天后才通知用户，他们的姓名、电子邮箱地址、密码、家庭住址等个人信息泄露；直到遭遇这种惨痛教训后，索尼才宣布新设立首席信息安全官一职，负责监管PSN网络安全。梅克尔说：“索尼在解决黑客攻击的问题上的确没有明确的程序。”据他介绍，为了节省开支，许多公司都没有建立明确的应对措施，数据安全问题直到最近才成为业界热门话题。梅克尔至今仍对索尼的反应感到失望。

 

 

　　尽管索尼的网络安全措施遭到炮轰，但有些专家却认为这种事情是不可避免的。上周，知名安全专家布鲁斯·施奈尔（Bruce Schneier）表示，世界上没有网络是真正安全的，称PSN遭黑客攻击可能与其安全水平关系不大。

 

 

　　网络安全咨询机构KRAA Security安全专家加里·巴哈杜尔（Gary Bahadur）驳斥了施奈尔的观点。他说：“如果你十分勤奋，建立了快速反应机制去识别你所有的资产，每天检查安全漏洞，你完全可以保持最佳的安全状态。”

 

 

　　索尼PSN哪天能恢复？

 

 

　　5月15日，SCE总裁平井一夫（Kazuo Hirai）在今晨一则视频中表示，PSN及Qriocity服务按地区及国别顺序逐步恢复，这些地区包括北美、欧洲、澳洲、新西兰，及中东。恢复工作从今日开始，其中北美及欧洲地区将按下列顺序逐步恢复PSN及Qriocity服务。预计到本月底，所有地区的PSN及Qriocity服务服务均将回复正常。

 

 

　　PS官方博客刊登了一则密码重设指南，新发布的v3.61版PS3固件将强制用户修改他们的登录密码。作为安全强化措施的一部分，PS3用户的登录密码只能在自己的主机（或激活PSN帐号时所使用的主机）上修改。如果用户从未用这台PS3在PSN下载任何内容，则系统会针对用户的电邮地址发送一封内含密码修改链接的邮件，用户点击此链接然后遵照指示完成密码修改。

 

 

　　SCE强烈建议用户升级至3.61系统，为即将恢复的PSN服务做好准备。密码修改及系统升级是强化PSN安全体系的关键性步骤。

 

 

　　索尼事件，告诉中国企业什么？

 

 

　　中国有千团大战，还有近400个网游在商业运营。2010年末，某安全公司声称服务器被黑，大量网民的敏感信息外泄。数千家电子商务与游戏网站，记录了的用户信息不下数亿条，有谁能拍着胸脯说，我的安全方案天下无敌，不会有索尼那样的事件发生？有一些小型企业估计还没有专职的安全运营团队。

 

 

　　索尼事件，在中国被复制，只是时间问题。就在前几天，国内某团购网站被黑，据称有17万用户信息正在以每条一毛的价格出售。