Kinyírhatják a hekkerek a Sonyt?

Mi történt?

Valamikor április 17. és 19. között ismeretlen hekkerek bejutottak a Sony online szolgáltatásainak egyik alkalmazásszerverére. Innen kiindulva a támadók három adatbázist szereztek meg a Playstation Network (playstation3-as játékok letöltőközpontja), a Qriocity (zene- és filmletöltő szolgáltatás internetkapcsolattal rendelkező Bravia tévék és bluray-lejásztók számára), és a SOE (pécés online játékokat futtató rendszer) előfizetőinek személyes adataival.

Összesen 101 millió felhasználó adatait szerezték meg, több millió hitelkártyaszámmal. A Sony biztonsági személyzete huszadikán vette észre, hogy baj van, leállították a PSN-t és a Qriocityt (a SOE feltörésére csak két hét múlva derült fény), de csak hat nap múlva ismerte el a cég, hogy mi történt – a rossz nyelvek szerint azért, hogy a botrány ne tegye tönkre a 25-ére időzített bejelentést a cég új táblagépeiről.

A Sony San Diego-i leányvállalatánál levő szervert elvileg két tűzfal is védte, de mint kiderült, a rendszeren az Apache Web Server régi, biztonsági javítások nélküli verziója futott, annak összes befoltozatlan, széles körben ismert sebezhetőségével. Szakértők szerint hónapok óta nem frissítették a megtámadott rendszert, és maga a Sony is elismerte, hogy tudott a biztonsági résekről.

Ki a tettes?

Erre a kérdésre két lehetséges válasz van:

1. Vagy az Anonymous volt
2. Vagy nem

A legutóbbi hírek szerint a feltört szerveren a támadók névjegyként ott hagytak egy fájlt, benne a „we are legion” üzenettel, ami a hírhedt netes akvitista-hekker csoport (mások szerint online terrorszervezet), az Anonymous jelmondata. Eredetileg ez egy bibliai idézet, az ördög által megszállt ember mondja Jézusnak, hogy „Az én nevem légió, mert sokan vagyunk”. A hekkerek természetesen nem azért vették át, mert sátánisták lennének, inkább azért, mert óriási pózerek, és a szöveg piszok jól hangzik. Az Anonymousnak valószínűleg megvan minden képessége egy ilyen támadáshoz, és indíték is volt: április elején háborút hirdettek a Sony ellen, mert a cég bíróság elé citálta a Playstation 3 másolásvédelmét feltörő hekkert, George „Geohot” Hotzot.

Az Anonymous-teória ellen annyi szól, hogy ők maguk azt mondják, nincs közük a betöréshez, az üzenet pedig csak félrevezetés, vagy a Sony találta ki az egészet. És valóban, a hitelkártyaszám-lopás nem a stílusuk, ők inkább egyfajta cyber-igazságosztó szerepben szeretnek tetszelegni, és az akcióikkal megbüntetni, megszégyeníteni azokat a cégeket és szervezeteket, akik szerintük megérdemlik. Legerősebb fegyverük a nyilvánosság, és ha így elbántak volna a Sonyval, azt hetek óta büszkén hirdetnék.

A legvalószínűbbnek az látszik, hogy egy sima hekkertámadás történt, magasan képzett és profi támadókkal, akik személyes adatokra és hitelkártyaszámokra utaztak, hogy aztán azokat eladják a feketepiacon – de a zsákmány olyan váratlanul hatalmasnak bizonyult, hogy az egész ügy túlnőtt rajtuk.

Mi lesz most?

Először is várható egy újabb támadás, a CNET értesülései szerint a hekkervilágot feldühítette, ahogy a Sony kezeli az ügyet, és a csaknem egy hetes maszatolásért és ködösítésért bosszúból új betörést terveznek, és a megszerzett adatok kiteregetését a világ elé (ez már sokkal inkább az Anonymous stílusa).

A Sony-vezérkar bocsánatot kért az ősi japán ojigi szertartást bemutatva a sajtótájékoztatón, és azzal a lendülettel három biztonságtechnikai céget is felbérelt, hogy kerítsék elő a hekkereket, plusz nyomoz az FBI is az ügyben, és jó esély van rá, hogy a Mastercard és a Visa is keresi a tolvajokat, akiknél a kártyaadataik vannak.

Ennyivel persze nem fogja megúszni a Sony a dolgot, a cég valószínűleg átvállalja majd a felhasználóktól az ellopott számokhoz tartozó hitelkártyák cseréjének költségét, hogy mentse ami menthető. Ez pár tíz- vagy százmillió dollárból kijön, a céget ért kár azonban ennél sokkal súlyosabb. Az első perek már elindultak, a nagyjából egymillió érintett kanadai felhasználó nevében egy ontariói nő vitte bíróságra az ügyet, és egymilliárd dollárt követel. Az ítélet kérdéses, de hogy lesz még hasonló per, az szinte biztos.

A Sonynak és a hitelkártyacégenek elemzők szerint összesen másfél, más becslések szerint kétmilliárd dollárjukba fog kerülni a betörés, a presztízsveszteséget pedig egyelőre felbecsülni sem lehet. Az egészben az az ironikus, hogy az ellopott adatokat éppen a botrány teszi értéktelenné. A hekkereknek most óriási kockázatot jelent eladásra kínálni az adatbázist, hiszen bármelyik potenciális vevőről kiderülhet, hogy valójában az FBI, vagy a japánok által felbérelt nyomozó – más meg ugyan miért venne meg egy olyan adatbázist, amit éppen a fél világ, meg egy bosszúszomjas világcég keres. És a zsákmány közben napról napra veszít az értékéből, ahogy az érintettek jelszavakat változtatnak és lecserélik a hitelkártyáikat.

Kinek állt ez érdekében?

Nyilván a Sony húzta a legrövidebbet, de a támadók sem járnak túl jól, ha a zsákmányt nem tudják eladni, és közben égre-földre keresi őket az FBI. Akiknek viszont az lesz az égés, ha nem tudják elkapni a hekkereket. A konkurencia (például a Microsoft, akinek az Xbox Live rendszere a PSN-hez hasonló szolgáltatást nyújt) sem jön ki különösebben jól a dologból, ahogy úgy általában az online kereskedelem sem – hiszen az átlagjúzer számára nem az lesz a tanulság, hogy a Sonynál nincsenek biztonságban az adataim, hanem az, hogy nem jó ötlet a neten vásárolni, mert ellopják kártyám a hekkerek. A hitelkártyacégek is emiatt szívnak, így a végén ott tartunk, hogy valójában mindenki csak bukott az ügyön.

A Sonyt másfél-két milliárd dollár veszteség nem fogja tönkretenni, de visszalökheti abba a gödörbe, amiből éppen most kezdett kimászni. A cég két évnyi veszteséges működés után kezdett volna idén egyenesbe jönni, amikor a japán földrengés miatt le kellett állítania hét gyárában a termelést, aztán beütött a hekkertámadás. Az évekig húzóágazatnak és aranytojást tojó tyúknak számító videojátékos részleg pedig súlyos válságba kerülhet: a toronymagas piacvezető Playstation 1 és 2 után a harmadik generációs gépet csúnyán megverte a Nintendo Wii, a nyakára nőtt az Xbox360, a mozgásérzékelős próbálkozás Move szánalmasan elhasalt a Kinecttel szemben, és most a játékosok személyes adataival együtt a bizalmukat is elveszítették.