Sony 於 5 月 1 日(日)下午 2:00(日本時間)在日本東京本公司會議場舉辦 PlayStation Network 遭受非法入侵與用戶個資被盜相關事件的說明會,由 Sony 執行副總裁兼索尼電腦娛樂(SCE)總裁平井一夫等高層代表公開向大眾謝罪,並說明事件調查結果與應對措施。
說明會由 Sony 執行副總裁兼 SCE 總裁平井一夫、Sony 資深副總裁兼資訊長兼經營革新 / 資訊系統中心長長谷島真時與 Sony 資深副總裁兼公關中心長神戶司郎等 3 名經營高層代表出席。
|
左起神戶司郎、平井一夫、長谷島真時(引用自日經 BP 網站) |
◆ PSN 非法入侵與個資被盜調查結果
平井首先針對 PSN 用戶個資被盜事件鞠躬致歉,並由長谷島提出現階段的調查結果。
根據資料顯示,PSN 目前全球共有約 7700 萬個帳號,包括美國 3114 萬 307 個、英國 929 萬 6137 個、日本 742 萬 7038 個、法國 470 萬 1424 個、加拿大 352 萬 4227 個、德國 323 萬 3800 個、西班牙 298 萬 2592 個,以及非洲、歐洲與亞洲(※)等地區,其中包含信用卡資料的帳號約有 1000 萬個。全球 5000 萬台 PS3 中約有 3700 萬台曾連接 PSN,PSP 約有 1600 萬台。
※香港 89 萬 7174 個、台灣 25 萬 5518 個、韓國 23 萬 5041 個、新加坡 16 萬 7517 個
長谷島表示,Sony 於 4 月 19 日(美國時間)確認 PSN 伺服器有異常活動並開始調查,4 月 20 日確認 4 月 17~19 日有非法入侵的狀況。為了進行深入調查而關閉伺服器停止服務,並委託資訊安全專門公司共同調查掌握實情。4 月 24 日委託資訊分析調查公司展開徹底分析調查,確認本次非法入侵是具備高度技術與巧妙手段、有可能威脅用戶個資安全的網路恐怖攻擊行動。
Sony 於 4 月 26 日確認用戶個資有外洩的可能,隨即透過網站與電子郵件對用戶發出警告。確定洩漏的包括「姓名」、「國名」、「住址」、「電子郵件位址」、「出生年月日」、「性別」、「PSN 登入密碼」、「線上 ID」,未發現洩漏證據但有可能洩漏的包括「購買記錄與付費住址等個人檔案」、「PSN 密碼提示問題內容」與「信用卡號碼(不含安全碼)與有效期限」。
Sony 表示,相對於前者來說,後者洩漏的可能性較低,且資料庫經過加密,也沒有發現遭受入侵者存取的跡象。不過會中也確認 PSN 登入密碼並未加密,僅以雜湊化(Hashed)狀態儲存。雖然目前還無法確認有用戶因此而遭受金錢損失,不過仍提醒用戶定期檢查 PSN 帳號登錄的資訊與信用卡付費記錄是否有異常,並避免在其他網路服務上使用與 PSN 相同的帳號與密碼。
Sony 表示,本次非法入侵是透過網頁伺服器後面的應用伺服器已知漏洞著手,建立起入侵管道後對更後面的資料庫伺服器進行攻擊,取得資料庫伺服器存取權限進行非法存取。不過目前並未發現與日前公開宣稱要對 Sony 旗下網路進行攻擊的駭客團體「Anonymous」有任何關聯。
◆ PSN 安全性強化應對措施
對於未來應對措施部分,Sony 表示將提前實施系統移交高安全層級資料中心管理的計畫,新增針對非法存取的自動處理監控功能與強化環境設定項目的管理功能,強化資料保護與加密層級,提升 PSN 網路對於不明軟體入侵、非法存取與可疑行為的偵測能力,以加增設新的防火牆。
在組織部分,負責 Sony 旗下網路服務的索尼網路娛樂(SNEI)將新設資訊安全長(CISO)一職,直接支援 Sony 資訊長,管轄 PSN 資訊安全的所有事務與強化個人資料管理制度。
Sony 預定於近期重新開啟部分伺服器,進行 PS3 系統軟體的升級,同時對所有 PSN 用戶實施變更密碼措施。之外並提供 PSN 用戶信用卡重新發卡與本人身分確認等需求的支援服務。
◆ PSN 服務重新開啟時程與用戶補償措施
Sony 預定 1 週內重新開啟 PSN / Qriocity 的部分服務,包括 PSN 的登入、PS3 / PSP 遊戲的連線對戰、須 PSN 認證的 PS3 下載遊戲遊玩、PSN 影片下載服務已下載影片於 PS3 / PSP / MediaGo 的播放、Qriocity 線上音樂與隨選視訊服務付費內容的存取與播放(既有會員有效期限內)、PlayStation Plus 功能、PlayStation Home、帳號管理與密碼重設、獎盃等好友功能、聊天功能等。預計 5 月中旬全面開啟包含付費機制的 PlayStation Store 等所有 PSN / Qriocity 服務。
對於長期無法使用服務且個資遭到洩漏的全球 PSN 用戶,Sony 提出多項補償措施,包括免費下載特定內容、免費提供 PSN 定額制付費服務 PlayStation Plus 30 天會員與、免費提供 Music Unlimited powered by Qriocity 30 天會員,後續並預定追加各地區專屬的其他服務。雖然目前並未確定信用卡號碼有洩漏,不過如果有用戶因此遭受金錢損失,將以個案方式一對一處理。
◆ Sony 未來經營方針
Sony 表示,將進一步強化 Sony 集團最重要戰略之一的網路戰略,以及 Sony 集團的整體資訊管理組織。為了保護個資促進安心健全之網路社會的發展,將在調查機關與相關機關的協助之下,持續對於網路系統的犯罪行為進行毅然的應對。由於網路服務對於日前發表的 Sony 平板電腦以及新一代掌機 NGP 等未來產品相當重要,因此將致力於重拾用戶信心與提供魅力十足的內容。
Sony 並確認 NGP 的上市時程目前並不受影響。