Pană PlayStation Network 2011 - 2011 PlayStation Network outage
2011 întrerupere PlayStation Network (denumit uneori ca PSN Hack ) a fost rezultatul unei „ intruziuni “ la Sony e PlayStation Network și Qriocity servicii, în care detaliile personale de la aproximativ 77 de milioane de conturi au fost compromise și a împiedicat utilizatorii de PlayStation 3 și consolele PlayStation Portable de la accesarea serviciului. Atacul a avut loc în perioada 17 aprilie - 19 aprilie 2011, forțând Sony să oprească PlayStation Network pe 20 aprilie. Pe 4 mai, Sony a confirmat că au fost expuse informații de identificare personală din fiecare dintre cele 77 de milioane de conturi. Panoul a durat 23 de zile.
La momentul întreruperii, cu un număr de 77 de milioane de conturi PlayStation Network înregistrate, aceasta a fost una dintre cele mai mari încălcări ale securității datelor din istorie. A depășit hack-ul TJX din 2007, care a afectat 45 de milioane de clienți. Oficialii guvernamentali din diferite țări și-au exprimat îngrijorarea cu privire la furt și întârzierea Sony de o săptămână înainte de a-i avertiza pe utilizatori.
Sony a declarat pe 26 aprilie că încearcă să ofere servicii online care rulează „în decurs de o săptămână”. Pe 14 mai, Sony a lansat versiunea 3.61 a firmware-ului PlayStation 3 ca patch de securitate. Firmware-ul a cerut utilizatorilor să își schimbe parola contului la conectare. La momentul lansării firmware-ului, rețeaua era încă offline. Restaurarea regională a fost anunțată de Kazuo Hirai într-un videoclip de la Sony. O hartă a restaurării regionale și a rețelei din Statele Unite a fost distribuită pe măsură ce serviciul revenea online.
Cronologia întreruperii
Pe 20 aprilie 2011, Sony a recunoscut că, pe blogul oficial PlayStation, era „conștient de faptul că anumite funcții ale rețelei PlayStation” erau defecte. După ce au încercat să se conecteze prin PlayStation 3 , utilizatorii au primit un mesaj care indica faptul că rețeaua era „în curs de întreținere”. A doua zi, Sony a cerut răbdare clienților săi, în timp ce a fost investigată cauza întreruperii și a declarat că ar putea dura „o zi sau două întregi” pentru ca serviciul să fie din nou complet funcțional.
Compania a anunțat ulterior că o „intruziune externă” a afectat serviciile PlayStation Network și Qriocity. Această intruziune a avut loc între 17 aprilie și 19 aprilie. Pe 20 aprilie, Sony a suspendat toate serviciile PlayStation Network și Qriocity din întreaga lume. Sony și-a exprimat regretul pentru perioadele de nefuncționare și a numit sarcina de a repara sistemul „consumatoare de timp”, dar ar duce la o infrastructură de rețea mai puternică și la o securitate suplimentară. Pe 25 aprilie, purtătorul de cuvânt al Sony, Patrick Seybold, a reiterat pe PlayStation Blog că remedierea și îmbunătățirea rețelei a fost un proces „intensiv în timp”, fără un timp estimat de finalizare. Cu toate acestea, a doua zi, Sony a declarat că există o „cale clară pentru ca sistemele PlayStation Network și Qriocity să fie din nou online”, unele servicii urmând să fie restaurate în decurs de o săptămână. Mai mult, Sony a recunoscut „compromisul informațiilor personale ca urmare a unei intruziuni ilegale în sistemele noastre”.
Pe 1 mai, Sony a anunțat un program „Welcome Back” pentru clienții afectați de întrerupere. Compania a confirmat, de asemenea, că unele servicii PSN și Qriocity vor fi disponibile în prima săptămână a lunii mai. Lista serviciilor preconizate să devină disponibile a inclus:
- Restaurarea jocului online pe sistemele PlayStation 3 (PS3) și PSP (PlayStation Portable)
- Aceasta include titlurile care necesită verificare online și jocuri descărcate
- Acces la Music Unlimited alimentat de Qriocity pentru PS3 / PSP pentru abonații existenți
- Acces la gestionarea contului și resetarea parolei
- Acces la descărcarea închirierilor de filme care nu au expirat pe PS3, PSP și MediaGo
- PlayStation Home
- Lista de prieteni
- Funcționalitatea chatului
Pe 2 mai, Sony a emis un comunicat de presă, potrivit căruia serviciile Sony Online Entertainment (SOE) au fost luate offline pentru întreținere din cauza activităților potențial legate de pirateria criminală inițială. Este posibil să fi fost accesate peste 12.000 de numere de carduri de credit, deși în formă criptată , de la deținătorii de carduri care nu sunt din SUA și informații suplimentare din 24,7 milioane de conturi SOE.
În cursul săptămânii, Sony a trimis o scrisoare Camerei Reprezentanților SUA , răspunzând la întrebări și îngrijorări cu privire la eveniment. În scrisoare, Sony anunța că vor furniza polițe de asigurare împotriva furtului de identitate în valoare de 1 milion de dolari SUA per utilizator al serviciilor PlayStation Network și Qriocity, în ciuda faptului că nu au fost raportate cazuri de fraudă a cardului de credit. Acest lucru a fost confirmat ulterior pe blogul PlayStation, unde s-a anunțat că serviciul, AllClear ID Plus alimentat de Debix , va fi disponibil gratuit utilizatorilor din Statele Unite timp de 12 luni și va include supraveghere pe Internet, repararea completă a identității în cazul de furt și o poliță de asigurare de furt de identitate de 1 milion de dolari pentru fiecare utilizator.
Pe 6 mai, Sony a declarat că au început „ultimele etape de testare internă” pentru PlayStation Network, care a fost reconstruită. Cu toate acestea, în ziua următoare Sony a raportat că nu va putea readuce serviciile online în termenul de o săptămână dat pe 1 mai, deoarece „amploarea atacului asupra serverelor Sony Online Entertainment” nu a fost cunoscută la acea vreme. SOE a confirmat pe contul lor de Twitter că jocurile lor nu vor fi disponibile decât după un weekend.
Reuters a început să raporteze evenimentul drept „cel mai mare spargere de securitate pe Internet din toate timpurile”. Un purtător de cuvânt al Sony a spus:
- Sony a eliminat detaliile personale ale 2.500 de persoane furate de hackeri și postate pe un site web
- Datele includeau nume și câteva adrese, care se aflau într-o bază de date creată în 2001
- Nu a fost stabilită nicio dată pentru repornire
Pe 14 mai, diverse servicii au început să revină online, de la țară la țară, începând cu America de Nord. Aceste servicii au inclus: conectare pentru servicii PSN și Qriocity (inclusiv resetarea parolei), joc online pe PS3 și PSP, redare de conținut video de închiriere, serviciu Music Unlimited (PS3 și PC), acces la servicii terțe (precum Netflix, Hulu, Vudu și MLB.tv), lista de prieteni, funcționalitatea de chat și PlayStation Home. Acțiunile au venit cu o actualizare de firmware pentru PS3, versiunea 3.61. Începând cu 15 mai, serviciul în Japonia și Asia de Est nu fusese încă aprobat.
Pe 18 mai, SOE a închis pagina de resetare a parolei de pe site-ul lor, după descoperirea unui alt exploit care a permis utilizatorilor să reseteze parolele altor utilizatori, folosind adresa de e-mail și data nașterii celuilalt utilizator . Conectarea utilizând detalii PSN la diferite alte site-uri web Sony a fost, de asemenea, dezactivată, dar conectările la consolă nu au fost afectate.
Pe 23 mai, Sony a declarat că costurile de întrerupere au fost de 171 milioane de dolari.
Răspunsul Sony
Camera Reprezentanților SUA
Sony a raportat pe 4 mai pe PlayStation Blog că:
Kazuo Hirai, președintele Consiliului de Administrație al Sony Computer Entertainment America, a transmis răspunsuri scrise la întrebările adresate de subcomitetul Camerei Statelor Unite despre atacul cibernetic pe scară largă pe care l-am experimentat.
Sony a transmis prin scrisoare că:
În rezumat, i-am spus subcomitetului că, pentru a trata acest atac cibernetic, am urmat patru principii cheie:
- Acționați cu grijă și precauție.
- Furnizați informații relevante publicului atunci când acestea au fost verificate.
- Asumați-vă responsabilitatea pentru obligațiile noastre față de clienții noștri.
- Colaborați cu autoritățile de aplicare a legii.
De asemenea, am informat subcomitetul cu privire la următoarele:
- Sony a fost victima unui atac cibernetic criminal foarte planificat, foarte profesionist și foarte sofisticat.
- Am descoperit că intruții au plantat un fișier pe unul dintre serverele noastre Sony Online Entertainment numit „Anonim” cu cuvintele „Suntem Legiune”.
- Până pe 25 aprilie, echipele de criminalistică au putut confirma sfera datelor personale despre care credeau că au fost luate și nu au putut exclude dacă informațiile despre cardul de credit au fost accesate. Pe 26 aprilie, am informat clienții despre aceste fapte.
- Începând de astăzi, companiile majore de carduri de credit nu au raportat nicio tranzacție frauduloasă care consideră că este rezultatul direct al acestui atac cibernetic.
- Protejarea datelor personale ale persoanelor este cea mai mare prioritate și asigurarea securității internetului pentru comerț este, de asemenea, esențială. La nivel mondial, țările și întreprinderile vor trebui să se reunească pentru a asigura siguranța comerțului pe internet și pentru a găsi modalități de combatere a criminalității informatice și a terorismului cibernetic.
- Luăm o serie de măsuri pentru a preveni încălcările viitoare, inclusiv niveluri sporite de protecție și criptare a datelor; capacitate sporită de a detecta intruziunile software-ului, accesul neautorizat și tiparele de activitate neobișnuite; firewall-uri suplimentare; înființarea unui nou centru de date într-o locație nedezvăluită, cu securitate sporită; și numirea unui nou responsabil cu securitatea informațiilor.
Explicarea întârzierilor
Pe 26 aprilie 2011, Sony a explicat pe PlayStation Blog de ce a durat atât de mult timp pentru a informa utilizatorii PSN despre furtul de date:
Există o diferență în ceea ce privește calendarul între momentul în care am identificat o intruziune și momentul în care am aflat că datele consumatorilor sunt compromise. Am aflat că a existat o intruziune pe 19 aprilie și ulterior au închis serviciile. Apoi am adus experți externi pentru a ne ajuta să aflăm cum sa produs intruziunea și pentru a efectua o investigație pentru a determina natura și scopul incidentului. A fost necesar să se efectueze câteva zile de analiză criminalistică și experții noștri au trebuit până ieri să înțeleagă scopul încălcării. Apoi am împărtășit aceste informații consumatorilor noștri și le-am anunțat public în această după-amiază.
Ancheta Sony
Posibile furturi de date l- au determinat pe Sony să furnizeze o actualizare în ceea ce privește o anchetă penală într-un blog postat pe 27 aprilie: „În prezent lucrăm cu forțele de ordine în această chestiune, precum și cu o firmă recunoscută de securitate tehnologică pentru a efectua o anchetă completă. atacul împotriva sistemului nostru și împotriva clienților noștri este o faptă criminală și procedăm agresiv pentru a-i găsi pe cei responsabili. "
La 3 mai, CEO-ul Sony Computer Entertainment, Kazuo Hirai, a reiterat acest lucru și a spus că „intruziunea externă” care i-a determinat să închidă PlayStation Network constituie un „atac cibernetic criminal”. Hirai s-a extins și mai mult, susținând că sistemele Sony au fost atacate înainte de întreruperea „în ultima lună și jumătate”, sugerând o încercare concertată de a viza Sony.
Pe 4 mai, Sony a anunțat că adaugă Data Forte echipei de anchetă a Guidance Software și Protiviti în analiza atacurilor. Aspectele juridice ale cazului au fost tratate de Baker & McKenzie. Sony și-a declarat convingerea că Anonymous , un grup de hackeri și activiști neorganizați descentralizați și afiliați, poate să fi efectuat atacul. Niciun anon nu a pretins vreo implicare.
Aflând că a avut loc o încălcare, Sony a lansat o anchetă internă. Sony a raportat, în scrisoarea adresată Congresului Statelor Unite:
Unul dintre primele noastre apeluri a fost către FBI, iar aceasta este o anchetă activă, în curs.
Ați identificat cum a avut loc încălcarea?
Da, noi credem. Sony Network Entertainment America își continuă investigația asupra acestei intruziuni criminale și ar putea fi descoperite informații mai detaliate în timpul acestui proces. Suntem reticenți să punem la dispoziția publicului toate detaliile, deoarece informațiile fac obiectul unei anchete penale în curs și, de asemenea, informațiile ar putea fi utilizate pentru a exploata vulnerabilitățile din alte sisteme decât Sony, care au o arhitectură similară rețelei PlayStation.
Incapacitatea de a utiliza conținut PlayStation 3
În timp ce majoritatea jocurilor au rămas redate în modurile offline, PlayStation 3 nu a putut reda anumite titluri Capcom sub nicio formă. Furnizorii video de streaming din diferite regiuni precum Hulu , Vudu , Netflix și LoveFilm au afișat același mesaj de întreținere. Unii utilizatori au susținut că pot utiliza serviciul de streaming Netflix, dar alții nu au putut.
Critica la adresa Sony
Avertisment întârziat cu privire la posibilul furt de date
Pe 26 aprilie, la aproape o săptămână după întrerupere, Sony a confirmat că „nu poate exclude posibilitatea” ca informațiile de identificare personală precum numele de utilizator, parola, adresa de domiciliu și adresa de e-mail ale contului PlayStation Network să fi fost compromise. Sony a menționat, de asemenea, posibilitatea ca datele cardului de credit să fie preluate - după ce a susținut că criptarea a fost plasată pe bazele de date, ceea ce ar satisface parțial conformitatea PCI pentru stocarea informațiilor despre cardul de credit pe un server. Ulterior anunțului atât pe blogul oficial, cât și prin e-mail, utilizatorilor li s-a cerut să protejeze tranzacțiile cu cardul de credit prin verificarea extraselor bancare. Acest avertisment a venit la aproape o săptămână după „ intruziunea externă ” inițială și în timp ce rețeaua a fost oprită.
Unii contestă această explicație și interogate că , dacă Sony consideră că situația atât de gravă încât au trebuit să dezactivați rețeaua, Sony ar fi avertizat utilizatorii de posibil furt de date mai devreme decât la 26 aprilie Preocuparile au fost ridicate peste încălcări ale PCI Respectarea și eșecul pentru a notifica imediat utilizatorii. Senatorul american Richard Blumenthal i-a scris CEO-ului Sony Computer Entertainment America, Jack Tretton, întrebând întârzierea.
Sony a răspuns într-o scrisoare către subcomitet:
Declarația dvs. a indicat că nu aveți dovezi în acest moment că informațiile despre cardul de credit au fost obținute, totuși nu puteți exclude această posibilitate. Vă rugăm să explicați de ce nu credeți că au fost obținute informații despre cardul de credit și de ce nu puteți stabili dacă datele au fost de fapt luate. După cum sa menționat mai sus, Sony Network Entertainment America nu a reușit să concluzioneze cu certitudine prin analiza criminalistică făcută până în prezent că informațiile despre cardul de credit nu au fost transferate din sistemul PlayStation Network. Știm că pentru alte informații personale conținute în baza de date a contului, hackerul a făcut interogări către baza de date, iar echipele de criminalistică externe au văzut cantități mari de date transferate ca răspuns la aceste întrebări. Echipele noastre de criminalistică nu au văzut întrebările și transferurile de date corespunzătoare ale informațiilor despre cardul de credit.
Detalii personale necriptate
Datele cardului de credit au fost criptate, dar Sony a recunoscut că alte informații despre utilizatori nu erau criptate în momentul intrării. Daily Telegraph a raportat că „Dacă furnizorul stochează parolele necriptate, atunci este foarte ușor ca altcineva - nu doar un atacator extern, ci membrii personalului sau contractanții care lucrează pe site-ul Sony - să aibă acces și să descopere aceste parole, folosindu-le potențial pentru mijloace nefaste ". Pe 2 mai, Sony a clarificat starea „necriptată” a parolelor utilizatorilor, afirmând că:
În timp ce parolele stocate nu erau „criptate”, ele au fost transformate folosind o funcție hash criptografică . Există o diferență între aceste două tipuri de măsuri de securitate, motiv pentru care am spus că parolele nu au fost criptate. Dar vreau să fiu foarte clar că parolele nu au fost stocate în baza noastră de date sub formă de text clar.
Biroul comisarilor britanici de informare
În urma unei anchete oficiale a Sony pentru încălcări ale Legii privind protecția datelor din 1998 din Marea Britanie , Biroul comisarilor de informații a emis o declarație extrem de critică cu privire la securitatea pe care Sony o avea la dispoziție:
Dacă sunteți responsabil pentru atâtea detalii ale cardului de plată și detaliile de conectare, atunci păstrarea securității acestor date personale trebuie să fie prioritatea dumneavoastră. În acest caz, acest lucru nu s-a întâmplat și când baza de date a fost vizată - deși într-un atac criminal determinat - măsurile de securitate în vigoare nu au fost suficient de bune. Nu este deghizat că aceasta este o afacere care ar fi trebuit să știe mai bine. Este o companie care își exercită expertiza tehnică și nu există nicio îndoială în mintea mea că au avut acces atât la cunoștințele tehnice, cât și la resursele necesare pentru a păstra aceste informații în siguranță.
Sony a fost amendată cu 250.000 de lire sterline (395.000 de dolari) pentru măsuri de securitate atât de slabe încât nu au respectat legea britanică.
Intreruperea Sony Online Entertainment
Pe 3 mai, Sony a declarat într-un comunicat de presă că poate exista o corelație între atacul care a avut loc pe 16 aprilie către PlayStation Network și unul care a compromis Sony Online Entertainment pe 2 mai. Această porțiune a atacului a dus la furtul de informații pe 24,6 milioane de deținători de conturi Sony Online Entertainment. Baza de date conținea 12.700 de numere de carduri de credit, în special cele ale unor rezidenți din afara SUA și nu mai erau utilizate din 2007, deoarece o mare parte din datele se aplicau cardurilor expirate și conturilor șterse. Sony a actualizat aceste informații în ziua următoare afirmând că doar 900 de carduri din baza de date erau încă valabile. Atacul a dus la suspendarea serverelor SOE și a jocurilor de pe Facebook . SOE a acordat 30 de zile de timp liber, plus o zi pentru fiecare zi în care serverul a fost oprit, utilizatorilor Clone Wars Adventures , DC Universe Online , EverQuest , EverQuest II , EverQuest Online Adventures , Free Realms , Pirates of the Burning Sea , PlanetSide , Poxnora , Star Wars Galaxies și Vanguard: Saga of Heroes , precum și alte forme de compensare pentru toate celelalte jocuri Sony online.
Experții în securitate Eugene Lapidous de la AnchorFree, Chester Wisniewski de la Sophos Canada și Avner Levin de la Universitatea Ryerson au criticat Sony, punând la îndoială metodele sale de securizare a datelor utilizatorilor. Lapidous a numit breșa „dificil de scuzat”, iar Wisniewski a numit-o „un act de hibrid sau pur și simplu incompetență gravă”.
Reacţie
Compensarea utilizatorilor
Sony a găzduit evenimente speciale după ce rețeaua PlayStation a revenit în funcțiune. Sony a declarat că aveau planuri pentru versiunile PS3 ale DC Universe Online și Free Realms pentru a ajuta la atenuarea unora dintre pierderile lor. Într-o conferință de presă la Tokyo, la 1 mai, Sony a anunțat un program „Welcome Back”. Pe lângă „conținutul de divertisment PlayStation selectat”, programul a promis să includă abonamentul gratuit de 30 de zile la PlayStation Plus pentru toți membrii PSN, în timp ce membrii existenți ai PlayStation Plus au primit încă 30 de zile la abonamentul lor. Abonații Qriocity au primit 30 de zile. Sony a promis alte conținuturi și servicii în următoarele săptămâni. Sony a oferit gratuit un an protecție împotriva furtului de identitate tuturor utilizatorilor, cu detalii viitoare.
Hulu a compensat utilizatorii PlayStation 3 pentru incapacitatea de a-și folosi serviciul în timpul întreruperii oferind o săptămână de servicii gratuite membrilor Hulu Plus.
Pe 16 mai 2011, Sony a anunțat că două jocuri PlayStation 3 și două jocuri PSP vor fi oferite gratuit din listele de cinci, respectiv patru. Jocurile disponibile variau în funcție de regiune și erau disponibile numai în țările care aveau acces la PlayStation Store înainte de întrerupere. La 27 mai 2011, Sony a anunțat pachetul „bun venit înapoi” pentru Japonia și regiunea Asiei (Hong Kong, Singapore, Malaezia, Thailanda și Indonezia). În regiunea Asiei, o temă - Dokodemo Issyo Spring Theme - a fost oferită gratuit pe lângă jocurile disponibile în pachetul „bun venit înapoi”.
^ † 5 jocuri PSP sunt oferite pe piața japoneză.
| Joc | America de Nord | Europa (non-Germania) | Germania | Asia | Japonia |
|---|---|---|---|---|---|
| Wipeout HD / Fury | da | da | da | da | da |
| LittleBigPlanet | da | da | da | Nu | Nu |
| InFamous | da | da | Nu | Nu | Nu |
| Națiunea Moartă | da | da | Nu | Nu | Nu |
| Super Stardust HD | da | Nu | da | Nu | Nu |
| Ratchet & Clank: Quest for Booty | Nu | da | da | Nu | Nu |
| Hustle Kings | Nu | Nu | da | da | da |
| Ultimul tip | Nu | Nu | Nu | da | da |
| Coș de gunoi | Nu | Nu | Nu | da | Nu |
| Haide, LocoRoco !! BuuBuu Cocoreccho | Nu | Nu | Nu | da | da |
| Ecocrom: Uvertură | Nu | Nu | Nu | Nu | da |
| Joc | America de Nord | Europa (non-Germania) | Germania | Asia | Japonia |
|---|---|---|---|---|---|
| LittleBigPlanet | da | da | da | da | da |
| ModNation Racers | da | da | da | da | Nu |
| Forța de urmărire | da | da | Nu | Nu | Nu |
| Eliberarea Killzone | da | da | Nu | Nu | Nu |
| Golf pentru toată lumea 2 | Nu | Nu | da | Nu | Nu |
| Buzz Junior Jungle Party | Nu | Nu | da | Nu | Nu |
| Stress Buster pentru toată lumea | Nu | Nu | Nu | da | da |
| Carnavalul de la miezul nopții Locoroco | Nu | Nu | Nu | da | da |
| Patapon 2 | Nu | Nu | Nu | Nu | da |
| Ce am făcut pentru a merita acest lucru, Doamne? | Nu | Nu | Nu | Nu | da |
^ ‡ VersiuneaoferitădeKillzone Liberationnu oferă funcționalități de joc online.
Reacția guvernului
Furtul de date a vizat autoritățile din întreaga lume. Graham Cluley, consultant senior în tehnologie la Sophos , a declarat că încălcarea „este cu siguranță una dintre cele mai mari pierderi de date care au afectat vreodată persoanele”.
Biroul comisarului britanic pentru informații a declarat că Sony va fi pusă la îndoială și că va avea loc o anchetă pentru a descoperi dacă Sony a luat măsuri de precauție adecvate pentru a proteja detaliile clienților. Conform Legii privind protecția datelor din Marea Britanie , Sony a fost amendată cu 250.000 de lire sterline pentru încălcare.
Comisarul pentru confidențialitate din Canada, Jennifer Stoddart, a confirmat că autoritățile canadiene vor investiga. Biroul comisarului și-a exprimat îngrijorarea cu privire la motivul pentru care autoritățile din Canada nu au fost informate anterior cu privire la o încălcare a securității.
Senatorul american Richard Blumenthal din Connecticut a cerut răspunsuri de la Sony cu privire la încălcarea datelor prin e-mail, CEO-ul SCEA, Jack Tretton, argumentând despre întârzierea informării clienților săi și insistând ca Sony să facă mai mult pentru clienții săi decât să ofere servicii gratuite de raportare a creditelor. Blumenthal a solicitat ulterior o anchetă din partea Departamentului de Justiție al SUA pentru a găsi persoana sau persoanele responsabile și pentru a stabili dacă Sony a fost responsabilă pentru modul în care a gestionat situația.
Congresmana Mary Bono Mack și congresmanul GK Butterfield au trimis o scrisoare către Sony, cerând informații despre momentul în care a fost descoperită încălcarea și despre modul în care va fi gestionată criza.
Sony a fost rugată să depună mărturie înaintea unei audieri a Congresului privind securitatea și să răspundă la întrebări despre încălcarea securității din 2 mai, dar a trimis un răspuns scris.
Acțiune în justiție împotriva Sony
Un proces a fost trimis pe 27 aprilie de Kristopher Johns din Birmingham, Alabama, în numele tuturor utilizatorilor PlayStation, susținând că Sony „nu a criptat datele și nu a stabilit firewall-uri adecvate pentru a gestiona o situație de intruziune a serverului, nu a oferit avertismente rapide și adecvate cu privire la încălcările securității și întârziat în mod nerezonabil în readucerea serviciului PSN online. " Potrivit plângerii depuse în proces, Sony nu a reușit să notifice membrilor o posibilă încălcare a securității și stocarea informațiilor despre cardul de credit al membrilor, o încălcare a conformității PCI - standardul de securitate digitală pentru industria cardurilor de plată.
Un proces canadian împotriva Sony Statele Unite ale Americii, Canada Sony și Sony Japonia a pretins daune de până la C $ de 1 de miliarde de inclusiv gratuit de monitorizare de credit de asigurare furt de identitate și. Reclamantul a fost citat spunând: „Dacă nu poți avea încredere într-o imensă corporație multinațională ca Sony pentru a-ți proteja informațiile private, în cine poți avea încredere? Mi se pare că Sony se concentrează mai mult pe protejarea jocurilor sale decât utilizatorii PlayStation” .
În octombrie 2012, un judecător din California a respins un proces împotriva Sony pentru încălcarea securității PSN, hotărând că Sony nu a încălcat legile de protecție a consumatorilor din California, invocând „nu există o securitate perfectă”.
În 2013 , Biroul comisarului pentru informații din Regatul Unit a acuzat Sony o penalitate de 250.000 GBP pentru că a pus în pericol o cantitate mare de date personale și financiare ale clienților PSN.
Frauda cu cardul de credit
Începând cu mai 2011, nu au existat rapoarte verificabile de fraudă a cardului de credit legate de întreruperea activității. Au existat rapoarte pe Internet că unii utilizatori PlayStation au suferit fraude cu cardul de credit; cu toate acestea, acestea nu erau încă legate de incident. Utilizatorii care au înregistrat un card de credit pentru a fi utilizat numai cu Sony au raportat, de asemenea, fraude pe cardul de credit. Sony a spus că codurile CSC solicitate de serviciile lor nu au fost stocate, dar hackerii ar fi putut să descifreze sau să înregistreze detaliile cardului de credit în timp ce se aflau în rețeaua Sony.
Sony a declarat în scrisoarea adresată subcomitetului:
Câți deținători de conturi PlayStation Network au furnizat informații despre cardul de credit Sony Computer Entertainment?
La nivel global, aproximativ 12,3 milioane de deținători de cont dețineau informații despre cardul de credit pe sistemul PlayStation Network. În Statele Unite, aproximativ 5,6 milioane de deținători de cont dețineau informații despre cardul de credit pe sistem. Aceste numere includ carduri de credit active și expirate.
Începând de astăzi, companiile majore de carduri de credit nu au raportat că au văzut o creștere a numărului de tranzacții frauduloase pe carduri de credit ca urmare a atacului și nu ne-au raportat tranzacții frauduloase care cred că sunt un rezultat direct a intruziunilor descrise mai sus.
Pe 5 mai, o scrisoare a CEO-ului și președintelui Sony Corporation of America Sir Howard Stringer a subliniat că nu au existat dovezi de fraudă a cardului de credit și că o poliță de asigurare pentru furt de identitate de 1 milion de dolari va fi disponibilă pentru utilizatorii PSN și Qriocity:
Până în prezent, nu există dovezi confirmate ale faptului că cardul de credit sau informațiile personale au fost utilizate în mod abuziv și continuăm să monitorizăm situația îndeaproape. De asemenea, mergem mai departe cu planuri care să ne ajute să ne protejăm clienții împotriva furtului de identitate din întreaga lume. Un program pentru clienții PlayStation Network și Qriocity din SUA care include o poliță de asigurare pentru furt de identitate de 1 milion de dolari pe utilizator a fost lansat mai devreme astăzi și anunțurile pentru alte regiuni vor fi în curând.
Modificarea termenilor și condițiilor
S-a sugerat că o modificare a termenilor și condițiilor PSN anunțate la 15 septembrie 2011 a fost motivată de daunele mari reclamate de acțiunile în acțiune colectivă împotriva Sony, într-un efort de a reduce la minimum pierderile companiei. Noul acord impunea utilizatorilor să fie de acord să renunțe la dreptul lor (de a se alătura ca grup într-o acțiune colectivă ) de a da în judecată Sony pentru orice încălcare a securității viitoare, fără a încerca mai întâi să rezolve problemele legale cu un arbitru. Aceasta a inclus orice proceduri de acțiune colectivă în curs inițiate înainte de 20 august 2011.
O altă clauză, care a eliminat dreptul unui utilizator de a fi judecat de către juriu, în cazul în care utilizatorul renunță la clauză (prin trimiterea unei scrisori către Sony), spune:
Dacă se constată că clauza de renunțare la acțiune colectivă este ilegală sau neexecutabilă, întreaga Secțiune 15 nu va fi aplicabilă, iar litigiul va fi decis de o instanță, iar dvs. și Entitatea Sony, aveți un litigiu cu fiecare, sunteți de acord să renunțați în acest caz, în măsura maximă permisă de lege, orice proces de juriu.
Sony a garantat că o instanță de judecată din țara respectivă, în acest caz SUA, va deține jurisdicție cu privire la orice reguli sau modificări ale ToS PSN Sony:
Acești Termeni și condiții și toate întrebările referitoare la îndeplinirea, interpretarea, încălcarea sau aplicarea acestor Termeni și condiții sau drepturile, obligațiile și responsabilitățile dvs. și ale dvs. în temeiul acestora sunt guvernate de legile statului California. Sunteți de acord că toate disputele, reclamațiile sau litigiile care decurg din sau sunt legate în vreun fel de acești Termeni și condiții și relația noastră cu dvs. vor fi litigate numai la o instanță cu jurisdicție competentă situată în județul San Mateo, statul California. Sunteți de acord să fiți supuși jurisdicției personale și locului în acea locație.