Скандал, разразившийся в связи с перебоями в работе облачного сервиса Amazon.com улёгся сравнительно быстро. Его используют множество корпоративных клиентов и возможный ущерб от почти двухсуточного простоя уже оценивается в сотни миллионов долларов, но характер сбоя (внутренняя ошибка) и оперативные действия персонала предотвратили расползание проблемы (подробнее см. «Буря в облаке Amazon…»). А вот владельцу и клиентам другого крупного облакоподобного сервиса повезло меньше. Медиасеть Sony PlayStation Network, насчитывающая свыше семидесяти миллионов пользователей по всему миру, «легла» 20 апреля и не работает до сих пор.
PlayStation Network (название часто сокращают до PSN) появилась в 2006 году как официальный набор интернет-сервисов от Sony и её партнёров для владельцев игровых консолей PS3 и PSP. Регистрация в сети бесплатная, но большинство услуг оказываются на возмездной основе: здесь можно организовать мультиплей и похвастаться игровыми трофеями, приобрести и скачать игры, музыку, фильмы и видеоконтент.
Sony по праву гордится своим детищем, ведь популярность PSN продолжает расти стремительно даже спустя пять лет со дня пуска. Всего за три месяца с начала текущего года армия подписчиков увеличилась с 60 до 77 миллионов человек (сравните с конкурирующей сеткой Xbox Live, за восемь лет существования набравшей вдвое меньшую аудиторию). Половина из них проживает в Северной Америке, другая распределена по 60 странам (в основном ЕС и Япония; Россия тоже подключена).
История PSN помнит короткие отключения, но блэкаут, случившийся 20 апреля и тянущийся по сей день, не имеет прецедентов. В минувшую среду пользователи медиасети впервые увидели вместо стандартного окошка входа короткое уведомление о ведущихся ремонтных работах. Следующие два дня публика и игровая пресса выдвигали одну догадку за другой, а Sony хранила упорное молчание.
Накануне уикэнда, когда стало ясно, что починить сеть быстро не удастся, компания скупо призналась, что причиной отключения стала атака злоумышленников. Несанкционированное проникновение в систему началось 17 числа и было обнаружено 19 апреля, после чего взломщикам дали ещё сутки, видимо, чтобы проявить себя в то время, как за их действиями уже наблюдали нанятые специалисты по кибербезопасности. В отличие от амазоновского облака, PSN, а с ней и дружественный музыкальный сервис Sony Qriocity были выведены в оффлайн принудительно, чтобы облегчить расследование.
Вплоть до 26 апреля (!) Sony уклонялась от более подробных комментариев. Но в конце концов была вынуждена раскрыть истинные масштабы происшествия и признать факт утечки конфиденциальных сведений о пользователях сети. Взломщикам стали доступны и, очевидно, были вынесены за пределы сети имена, даты рождения, логины и пароли к PSN-сервисам, онлайновые идентификаторы, истории покупок, ответы на секретные вопросы (дубликат пароля) значительной части клиентов PSN.
Удалось ли похитить номера кредитных карт достоверно неизвестно, но Sony предлагает считать, что они были похищены и рекомендует клиентам проявлять бдительность: отслеживать операции по картам, с осторожностью относиться к любым запросам, поступившим якобы со стороны самой компании и т.д. Что касается PSN, в настоящий момент идёт её перестройка с целью повышения защищённости и Sony обещает вернуть сеть в строй в течение недели.
Реакция Веб на отключение PlayStation Network была двухэтапной. Первая волна недовольства, выплеснувшаяся в твитах и блогах, содержала главным образом жалобы рядовых пользователей, которые остались без любимой игрушки на выходные. Однако после раскрытия подробностей взлома страсти выплеснулись и на страницы крупнейших изданий.
К настоящему моменту количество интернет-публикаций, посвящённых инциденту, перевалило за четыре тысячи. Редко какое событие удостаивается столь пристального внимания. Но удивляться нечему: взлом PSN стал своего рода яркой, живой иллюстрацией одной из самых актуальных проблем Сети — утечки персональных данных.
Согласно последним опросам (The Ponemon Institute, ThreatMetrix) девять из десяти интернет-пользователей беспокоит перспектива стать жертвой онлайн-мошенников. Определение «мошенничества в Сети» достаточно широкое и включает множество разнообразных неприятностей, от спама и пресловутой кражи личности до похищения номера кредитной карты и столкновения с приёмами социальной инженерии. Плохая новость в том, что проникновение злоумышленников в любую современную ИТ-систему — как правило, содержащую модные социальные элементы — обеспечивает их всеми необходимыми сведениями для проведения всех мошеннических операций.
Знание скрытых от посторонних глаз данных — дня рождения, каких-то деталей из биографии, предпочтений в играх и потребляемых ресурсах — позволяет организовать хитроумные мошеннические атаки на клиентов скомпрометированного ресурса, ради денег или похищения ещё более важных конфиденциальных сведений. А ведь PlayStation Network собрана из тех же «кирпичиков», что составляют фундамент бесчисленного множества более мелких корпоративных сетей и систем по всему миру.
Пытаясь оценить ущерб для Sony, аналитики называют сильно разнящиеся суммы, но сходятся в одном: страшнее всего не останов PSN, а утечка информации о клиентах. Собственно неделя или две потерянного времени обойдутся корпорации в несколько десятков миллионов долларов (Zwillnger Genetsky). Но вот в зависимости от того, как используют похищенные сведения взломщики, итоговый счёт может вырасти в десятки и сотни раз.
Даже по самым скромным прикидкам, основанным на среднем ущербе от взлома корпоративных ИТ-систем в прошлом году (Ponemon Institute), каждый клиент может обойтись Sony в 20 и более долларов США (компенсации, штрафы, судебные иски), что выведет общую сумму убытков в девятизначную область. Есть и аспекты, которые пока оценить в денежном эквиваленте невозможно. К примеру, тот факт, что среди клиентов PSN много несовершеннолетних, может аукнуться через их родителей, в глазах которых имидж игровой сети уже необратимо испорчен.
Что ещё хуже, владельца PSN подозревают в наплевательском отношении к защите конфиденциальных сведений о своих клиентах. Как удалось взломщикам утянуть пароли, если стандартная ИТ-практика предполагает хранение их в зашифрованном виде? О чём думало руководство компании, затягивая почти на неделю оповещение клиентов о краже персональных данных? Ответить на эти и другие неудобные вопросы Sony предстоит в самое ближайшее время: власти США и ряда европейских стран уже направили компании разного рода официальные запросы, а где-то и организовали своё расследование.
Если выяснится, что Sony не позаботилась должным образом о приватности своих клиентов (законодательно оформленное требование в ЕС и США), её могут обложить ещё и миллионными штрафами. Но как и в любом другом случае хищения конфиденциальных сведений, пользователи PlayStation Network теперь вынуждены самостоятельно задуматься о том, как оградить себя от возможных негативных последствий.
В самом выгодном положении оказались клиенты из США: там политики уже требуют от Sony оплатить двухгодичное предоставление подробной истории по операциям с кредитными картами и предоставить страховку на случай финансовых неприятностей из-за кражи личности. И даже если компания откажется пойти на уступки, у владельцев возможно скомпрометированных карточек имеются другие средства противодействия (в частности, они могут попросить банк ужесточить процедуру идентификации личности при запросе денежных средств).
В России нетривиальной процедурой является даже опротестование явно мошеннического платежа, поэтому отечественным пользователям PSN остаётся только перевыпустить карты за свой счёт.
Между тем поступило известие о первом судебном иске против Sony. Американец Кристофер Джонс обвиняет компанию в том, что она не проявила должную заботу о доверенных ей конфиденциальных данных, а когда они были похищены, ещё и тянула с уведомлением клиентов.