Interruzione dei servizi PlayStation Network del 2011

Da Teknopedia, l'enciclopedia libera.
Vai alla navigazione Vai alla ricerca

L'interruzione dei servizi PlayStation Network del 2011 (anche conosciuta come PSN Hack) è stata il risultato di un'"intrusione esterna" sui servizi PlayStation Network e Qriocity di Sony, in cui i dati personali di circa 77 milioni di utenti sono stati compromessi ed in cui è stato impedito l'accesso al servizio per gli utenti delle consoles PlayStation 3 e PlayStation Portable.[1][2][3][4] L'attacco è avvenuto tra il 17 e il 19 aprile 2011,[1] costringendo Sony, il 20 aprile, a spegnere i servizi PlayStation Network. Il 4 maggio, Sony ha confermato che erano state compromesse informazioni riconducibili all'identità personale a ciascuno dei 77 milioni di account.[5] L'interruzione è durata 23 giorni.[6]

Al momento dell'interruzione, con 77 milioni di account PlayStation Network registrati,[7] non è stato solo uno dei più grandi furti di dati, ma anche la più lunga interruzione di PS Network mai vista nella storia.[8][9] Ha superato l'hacking TJX del 2007 che aveva colpito 45 milioni di clienti.[10] Funzionari governativi in diversi paesi hanno espresso preoccupazione per la violazione e per il ritardo di una settimana da parte di Sony prima di avvisare i suoi utenti.

Sony ha dichiarato il 26 aprile che stava tentando di ripristinare i servizi di rete "entro una settimana".[11] Il 14 maggio, Sony ha rilasciato la versione 3.61 del firmware per PlayStation 3 come patch di sicurezza. Il firmware obbligava gli utenti a cambiare la propria password all'accesso. Al momento del rilascio, i servizi erano ancora offline.[12] Il ripristino a regioni è stato annunciato da Kazuo Hirai in un video di Sony.[13] Una mappa del ripristino regionale e della rete negli Stati Uniti è stata condivisa mentre il servizio stava tornando online.[14]

Cronologia dell'interruzione

[modifica | modifica wikitesto]

Il 20 aprile 2011, Sony ha riconosciuto sul PlayStation Blog di essere "al corrente che alcune funzioni dei servizi PlayStation Network" erano inattive. Dopo aver tentato di accedere tramite PlayStation 3, gli utenti ricevevano un messaggio il quale indicava che la rete era "in manutenzione".[15][16] Il giorno seguente, Sony ha chiesto pazienza ai suoi clienti mentre si indagava sulla causa scatenante dell'interruzione ed ha affermato che potrebbero essere necessarie "una o due giornate intere" per il completo ripristino delle funzionalità del servizio.[17]

La società ha successivamente annunciato che un'"intrusione esterna" aveva impattato i servizi PlayStation Network e Qriocity.[18] Questa intrusione è avvenuta tra il 17 aprile e il 19 aprile. Il 20 aprile Sony ha sospeso completamente i servizi PlayStation Network e Qriocity in tutto il mondo.[19] Sony ha espresso il proprio rammarico per il periodo di inattività ed ha definito il ripristino del sistema "dispendioso in termini di tempo", ma che avrebbe portato ad un'infrastruttura di rete più forte e più misure di sicurezza.[20] Il 25 aprile, il portavoce di Sony Patrick Seybold ha ribadito sul PlayStation Blog che riparare e migliorare la rete "avrebbe richiesto tempi ingenti" e che non avrebbe avuto una data stimata di termine.[21] Tuttavia, il giorno successivo Sony ha affermato che esisteva un "procedimento chiaro per riportare online i sistemi PlayStation Network e Qriocity", con alcuni servizi che avrebbero potuto essere ripristinati entro una settimana. Inoltre, Sony ha riconosciuto la "compromissione di informazioni personali a seguito di un'intrusione illegale nei nostri sistemi".[22]

Il 1 maggio Sony ha annunciato un programma di "bentornato" per gli utenti impattati dall'interruzione. La società ha anche confermato che alcuni servizi PSN e Qriocity sarebbero stati disponibili durante la prima settimana di maggio.[23][24] L'elenco dei servizi che sarebbero diventati disponibili includeva:[25]

  • Ripristino delle funzionalità di gioco online per i sistemi PlayStation 3 (PS3) e PSP (PlayStation Portable)
  • Ciò comprende la possibilità di giocare a titoli i quali richiedono la verifica online e giochi scaricati
  • Accesso a Music Unlimited offerto da Qriocity per PS3/PSP agli utenti già iscritti
  • Accesso alla gestione account e reimpostazione della password
  • Possibilità di scaricare film a noleggio non ancora scaduti su PS3, PSP e MediaGo
  • PlayStation Home
  • Lista amici
  • Funzioni di Chat

Il 2 maggio Sony ha emesso un comunicato stampa, affermando che i servizi Sony Online Entertainment (SOE) erano stati portati offline per manutenzione, a causa di attività potenzialmente correlate al primo attacco criminale. Potrebbero essere stati compromessi oltre 12.000 numeri di carte di credito, anche se in forma crittografata, appartenenti a titolari di carte non statunitensi ed ulteriori informazioni su 24,7 milioni di conti SOE.[26][27]

Durante la settimana, Sony ha inviato una lettera alla Camera dei rappresentanti degli Stati Uniti, rispondendo a domande e preoccupazioni riguardo all'accaduto.[28] In quest'ultima Sony ha annunciato che avrebbe fornito polizze assicurative per furto di identità ammontando ad un importo di 1 milione di dollari per ogni utente dei servizi PlayStation Network e Qriocity, nonostante non fosse segnalata la presenza di alcun furto effettivamente accaduto. Ciò è stato successivamente confermato sul PlayStation Blog, dove è stato annunciato che il servizio AllClear ID Plus offerto da Debix, sarebbe stato disponibile gratuitamente per gli utenti negli Stati Uniti per 12 mesi ed avrebbe incluso la sorveglianza della navigazione Internet, la riparazione totale dell'identità ed una polizza assicurativa di 1 milione di dollari a utente in caso di furto di identità.[29][30]

Il 6 maggio Sony ha dichiarato di aver iniziato le "ultime fasi dei test interni" per i servizi PlayStation Network, i quali era stati nuovamente costruiti.[31] Ciò nonostante, il giorno successivo Sony ha dichiarato che non sarebbe stata in grado di riportarli online entro il periodo di una settimana precedentemente indicato il 1 maggio, dato che "l'entità dell'attacco ai server di Sony Online Entertainment" non era nota a quel tempo.[32] SOE ha confermato sul proprio account Twitter che i loro giochi non sarebbero stati disponibili per un periodo indefinito durante e dopo il fine settimana.[33]

Reuters cominciò a riferirsi all'evento come "la più grande breccia di sicurezza di sempre".[34] Un rappresentante di Sony ha riferito che:[35]

  • Sony aveva provveduto alla rimozione di dati personali rubati di 2.500 utenti
  • I dati includevano nomi e alcuni indirizzi, che erano in un database creato nel 2001
  • Nessuna data era ancora stata fissata per il riavvio

Il 14 maggio diversi servizi hanno iniziato a tornare online in diversi paesi in maniera sfalsata.[36] Questi servizi includevano: accesso ai servizi PSN e Qriocity (inclusa la reimpostazione della password), gioco online su PS3 e PSP, riproduzione di contenuti video a noleggio, servizio Music Unlimited (PS3 e PC), accesso a servizi di terze parti (come Netflix, Hulu, Vudu e MLB.tv), amici online, servizi di chat e PlayStation Home.[36] Questi cambiamenti sono arrivati con un aggiornamento di firmware alla versione 3.61.[37] Il 15 maggio, il servizio in Giappone e nell'Asia orientale non era ancora stato approvato.[38]

Il 18 maggio SOE ha sospeso la pagina Web sul proprio sito per la reimpostazione della password in seguito alla scoperta di un altro exploit [39] che consentiva agli utenti di reimpostare le password altrui, utilizzando l'indirizzo e-mail e la data di nascita delle vittime.[40] Anche l'accesso tramite l'autenticazione PSN a vari altri siti Web Sony è stato disabilitato, mentre quelli alle console non sono stati impattati.[39]

Il 23 maggio Sony ha affermato che i costi dovuti all'interruzione ammontavano a 171 milioni di dollari.[41]

La risposta di Sony

[modifica | modifica wikitesto]

Camera dei rappresentanti degli Stati Uniti

[modifica | modifica wikitesto]

Il 4 maggio Sony ha riferito sul PlayStation Blog [42] che:

«Kazuo Hirai, presidente del Pannello dei Dirigenti di Sony Computer Entertainment America, ha inviato risposte scritte alle domande poste dalla sottocamera degli Stati Uniti per i crimini digitali a larga scala che abbiamo subito.»

Sony ha comunicato via lettera che:

«In sostanza, abbiamo riferito alla commissione che mentre tamponavamo i danni abbiamo seguito questi pilastri per l'operato:

  1. Agire con cura e cautela.
  2. Tenere il pubblico informato dei fatti una volta verificati.
  3. Assumersi responsabilità verso i propri clienti per danni causati.
  4. Collaborare con le autorità locali di ogni paese.


Abbiamo inoltre informato la commissione che:

  • Sony è stata vittima di un attacco meticolosamente pianificato, di grado professionale ed altamente sofisticato.
  • Abbiamo scoperto che gli intrusi hanno creato un file su uno dei nostri server SOE chiamato "Anonymous" dal contenuto "We are Legion."
  • Entro il 25 aprile, delle squadre di analisi forense sono riuscite a determinare il contesto dei dati personali rubati, mentre non sono state in grado di capire se i dati bancari fossero stati compromessi. Il 26 aprile abbiamo informato i nostri utenti.
  • Al giorno corrente, le aziende più grandi in termini di carte di credito non hanno segnalato alcuna potenziale transazione fraudolenta come diretta conseguenza di questo attacco.
  • La protezione dei dati personali è la nostra priorità assoluta ed assicurarci che Internet possa essere reso sicuro per il commercio online è ugualmente importante. Globalmente, i paesi e le società dovranno collaborare insieme per garantire la sicurezza del commercio online e trovare dei modi di contrasto alla criminalità su Internet e cyber terrorismo.
  • Stiamo prendendo diverse misure di precauzione per prevenire ulteriori future brecce, tra cui livelli di protezione di dati avanzati; capacità avanzate di rilevazione di intrusioni software, accesso non autorizzato e schemi di attività sospetti; firewalls aggiuntivi; la collocazione di un nuovo datacenter anonimo con maggiori misure di sicurezza; e la nomina di un novo Capo per la Sicurezza Informatica.»

Spiegazione dei ritardi

[modifica | modifica wikitesto]

Il 26 aprile 2011 Sony ha spiegato sul PlayStation Blog i motivi per cui ci era voluto tanto tempo per informare gli utenti PSN della breccia di dati:[43]

«Esiste un periodo intermedio di tempo tra il momento un cui ci siamo resi conto dell'intrusione e quello in cui abbiamo capito che erano stati compromessi i dati dei nostri clienti. Rendendoci conto dell'intrusione il 19 aprile, abbiamo di conseguenza interrotto i servizi. Abbiamo chiamato esperti esterni per aiutarci a determinare come l'intrusione fosse accaduta e per condurre un'investigazione per determinare la natura e lo scopo dell'attacco. Sono stati necessari diversi giorni di analisi forense, ed ha richiesto fino a ieri ai nostri esperti per capire lo scopo della breccia. Abbiamo poi condiviso queste informazioni con i nostri clienti e lo abbiamo pubblicamente annunciato questo pomeriggio.»

Indagine di Sony

[modifica | modifica wikitesto]

Un possibile furto di dati ha spinto Sony a fornire un aggiornamento in merito ad un'indagine penale in un blog pubblicato il 27 aprile: "Stiamo attualmente lavorando su questo fatto con le forze dell'ordine e con una società di sicurezza informatica rinomata per condurre un'indagine esauriente. Questo attacco a scopo dannoso contro il nostro sistema e contro i nostri clienti è un crimine punibile penalmente e stiamo procedendo aggressivamente per identificare i responsabili." [44]

Il 3 maggio Kazuo Hirai, CEO di Sony Computer Entertainment, lo ha ribadito ed ha affermato che "l'intrusione esterna" la quale aveva causato la chiusura del PlayStation Network costituiva un "attacco informatico di natura criminale".[45] Hirai spiegò ulteriori dettagli, affermando che i sistemi Sony erano stati attaccati ancora prima dell'interruzione "durante l'ultimo mese e mezzo", suggerendo un tentativo vero e proprio di prendere di mira Sony.[46]

Il 4 maggio Sony ha annunciato che avrebbe aggiunto Data Forte alla squadra investigativa per l'analisi degli attacchi la quale contava già Guidance Software e Protiviti. Gli aspetti legali del caso sono stati gestiti dallo studio Baker & McKenzie.[47] Sony ha dichiarato di ritenere che Anonymous, un gruppo decentralizzato e non organizzato di hacker e attivisti liberamente congregato possa aver effettuato l'attacco.[48] Nessun membro appartenente al gruppo ha rivendicato alcun coinvolgimento.[49]

Dopo aver appreso che si era verificata una breccia di dati, Sony ha avviato un'indagine interna. La compagnia ha riferito, nella sua lettera al Congresso degli Stati Uniti:

«Una delle nostre prime telefonate è stata all'FBI, ed esiste un'investigazione attiva in corso.

Avete identificato come la breccia sia avvenuta?

Sì, lo pensiamo. Sony Network Entertainment America sta continuando ad investigare questa intrusione criminale, ed informazioni più dettagliate potranno essere rivelate nel processo. Siamo riluttanti a rendere i pieni dettagli disponibili al pubblico perché sono correlate ad un'investigazione criminale in corso ed inoltre le informazioni potrebbero essere usate per sfruttare altre vulnerabilità nei sistemi di altre compagnie fuori da Sony che hanno un'architettura simile a quella del PlayStation Network.[50]»

Impossibilità di utilizzare i contenuti di PlayStation 3

[modifica | modifica wikitesto]

Sebbene la maggior parte dei giochi sia rimasta accessibile nelle modalità offline, PlayStation 3 non è stata in grado di riprodurre alcuni titoli di Capcom indipendentemente dalla forma.[51] I fornitori di video in streaming in diverse regioni tra i quali Hulu, Vudu, Netflix e LoveFilm mostravano lo stesso avviso di manutenzione. Alcuni utenti hanno affermato di essere in comunque grado di utilizzare il servizio di streaming di Netflix [52] mentre altri non sono riusciti a fare altrettanto.[53]

Critiche a Sony

[modifica | modifica wikitesto]

Avviso in ritardo di possibile furto di dati

[modifica | modifica wikitesto]
Modello originale PlayStation 3

Il 26 aprile, quasi una settimana dopo l'interruzione, Sony ha confermato di "non escludere la possibilità" [54] che informazioni di identità personale come nome utente, password, indirizzo civico ed indirizzo e-mail degli account PlayStation Network fossero stati compromessi. Sony ha anche menzionato la possibilità che i dati della carta di credito siano stati rubati, dopo aver affermato che la crittografia era stata applicata ai database, ovvero che avrebbero parzialmente soddisfatto i requisiti della conformità PCI per la memorizzazione delle informazioni correlate a carte di credito su un server. A seguito dell'annuncio pubblicato sia sul blog ufficiale che inviato via e-mail, agli utenti è stato chiesto di salvaguardare le transazioni con carta di credito controllando i loro estratti conto. Questo avviso è arrivato quasi una settimana dopo l'iniziale "intrusione esterna" e mentre la rete era già stata spenta.[55]

In diversi hanno contestato questa decisione affermando che se Sony ritenesse il problema tanto grave da spegnere la rete di sistemi, avrebbe dovuto avvisare gli utenti di un possibile furto di dati prima del 26 aprile.[56] Sono state inoltre avanzate preoccupazioni per le violazioni della conformità PCI e la mancata notifica immediata agli utenti. Il senatore degli Stati Uniti Richard Blumenthal ha scritto al CEO di Sony Computer Entertainment America Jack Tretton chiedendo chiarimenti riguardo al ritardo.[57]

Sony ha risposto in una lettera alla commissione subordinata:

«La vostra dichiarazione indicava che voi non aveste alcuna prova di compromissione di dati inerenti a carte di credito al momento, tuttavia non potete ancora escluderne la possibilità. Siete pregati di spiegare come mai non credete questo sia il caso, e perché non potete determinare effettivamente se i dati sono stati rubati. Come già indicato sopra, al giorno corrente Sony Network Entertainment America non è stata in grado di determinare con certezza attraverso le analisi forensi che i dati delle carte di credito non siano stati trasferiti all'esterno dei sistemi PlayStation Network. Siamo al corrente che per altri tipi di informazioni gli hacker hanno consultato diverse volte i database, ed i team esterni per le investigazioni hanno visto larghe moli di dati trasferiti in risposta a quelle consultazioni. Le nostre squadre per le analisi forensi non hanno visto simili trasferimenti di dati per quanto riguarda i dettagli delle carte di credito.»

Dati personali non crittografati

[modifica | modifica wikitesto]

Mentre i dati delle carte di credito erano crittografati, Sony ha ammesso che altre informazioni sugli utenti non lo erano al momento dell'intrusione.[44][58] Il Daily Telegraph ha riferito che "Se il servizio memorizza le password senza crittografarle, è molto facile per qualcun altro, non solo un aggressore esterno, ma anche membri del personale o appaltatori che lavorano sul sito di Sony, ottenere l'accesso [ai database] e vedere quelle password, potenzialmente utilizzandole per scopi nefasti».[59] Il 2 maggio Sony ha chiarito cosa intendesse per stato "non crittografato" delle password, affermando che:[60]

«Mentre le password registrate [nei database] non erano crittografate, erano comunque alterate utilizzando una funzione crittografica di hash. C'è una differenza tra queste due misure di sicurezza ecco quindi perché abbiamo dichiarato che non fossero crittografate. Ma vogliamo reiterare e rendere bene chiaro che le password non fossero salvate in chiaro.»

Ufficio britannico dei Commissari per l'informazione

[modifica | modifica wikitesto]

A seguito di un'indagine formale su Sony per violazioni del Data Protection Act 1998 in vigore nel Regno Unito, l'Ufficio dei Commissari per l'informazione ha rilasciato una dichiarazione molto critica nei confronti della sicurezza che Sony aveva attuato:

«Se sei responsabile per una simile mole di dati bancari e di accesso, mantenere questi dati personali al sicuro deve essere la tua priorità. In questo caso semplicemente non è stato così, e quando i database sono stati presi di mira - nonostante fosse un attacco criminale mirato - le misure di sicurezza in atto non erano semplicemente sufficienti. Non c'è modo di far sembrare che questa situazione non potesse esser stata gestita meglio. [Sony] È una compagnia che commercia anche sulle sue capacità tecniche, e non c'è dubbio nella mia mente che avessero accesso sia a questa esperienza tecnica sia alle risorse necessarie per mantenere queste informazioni al sicuro.[61]»

Sony è stata multata per £ 250.000 ($ 395.000) a causa di misure di sicurezza talmente scarse da non essere conformi alla legge britannica.

Interruzione di Sony Online Entertainment

[modifica | modifica wikitesto]

Il 3 maggio Sony ha dichiarato in un comunicato stampa che avrebbe potuto esserci una correlazione tra l'attacco avvenuto il 16 aprile al PlayStation Network e quello che ha compromesso Sony Online Entertainment il 2 maggio.[26] Il risultato di questa seconda parte dell'attacco fu il furto delle informazioni di 24,6 milioni di titolari di account Sony Online Entertainment. Il database conteneva 12.700 numeri di carte di credito, in particolare quelle di utenti non residenti negli Stati Uniti, e non era stato consultato dal 2007 dato che la maggior parte dei dati riguardanti le carte erano obsoleti o gli account eliminati. Sony ha rettificato queste informazioni il giorno seguente affermando che solo 900 delle carte presenti nel database erano ancora attive.[62] L'attacco ha portato alla sospensione dei server SOE e dei giochi di Facebook. SOE ha concesso 30 giorni di utilizzo gratuito, più un giorno per ogni giorno di mancata attività dei server, agli utenti dei titoli Clone Wars Adventures, DC Universe Online, EverQuest, EverQuest II, EverQuest Online Adventures, Free Realms, Pirates of the Burning Sea, PlanetSide, Poxnora, Star Wars Galaxies e Vanguard: Saga of Heroes, oltre a diverse forme di indennizzo per il resto dei giochi Sony Online.

Gli esperti di sicurezza informatica Eugene Lapidous di AnchorFree, Chester Wisniewski di Sophos Canada e Avner Levin della Ryerson University hanno criticato Sony, mettendo in dubbio i suoi metodi di protezione per i dati personali. Lapidous ha descritto la breccia come "difficile da giustificare", mentre Wisniewski l'ha definita "un atto di arroganza o semplicemente palese incompetenza".[63][64][65][66]

Indennizzo agli utenti

[modifica | modifica wikitesto]

Sony ha ospitato eventi speciali dopo che PlayStation Network è tornato operativo. Sony ha dichiarato di aver pianificato lo sviluppo delle versioni per PS3 di DC Universe Online e Free Realms come modo per alleviare alcune delle loro perdite.[67] In una conferenza stampa a Tokyo il 1 maggio, Sony ha annunciato un programma di "Bentornato". Oltre a "prodotti PlayStation per l'intrattenimento", il programma prometteva di includere 30 giorni di abbonamento gratuito a PlayStation Plus per tutti i membri PSN, mentre i membri PlayStation Plus esistenti avrebbero ricevuto altri 30 giorni aggiuntivi di abbonamento. Gli abbonati Qriocity hanno ricevuto analogamente 30 giorni di abbonamento gratuito. Sony ha promesso altri contenuti e servizi nelle settimane a seguire.[24] Sony ha anche offerto un anno di protezione da furto di identità online con più dettagli che sarebbero stati svelati di seguito.

Hulu ha compensato gli utenti di PlayStation 3 per l'impossibilità di usufruire dei suoi servizi durante l'interruzione concedendo una settimana di uso gratuito di questi ultimi per Hulu Plus.[68]

Il 16 maggio 2011 Sony ha annunciato che due giochi per PlayStation 3 e due per PSP sarebbero stati disponibili gratuitamente scelti rispettivamente da gruppi di cinque e quattro titoli (5 giochi PSP per quanto riguarda il mercato giapponese).[69][70] I giochi variavano secondo la regione geografica [69][70] e l'offerta era disponibile solo nei paesi i quali avevano accesso al PlayStation Store anche prima dell'interruzione.[70] Il 27 maggio 2011, Sony ha annunciato il pacchetto "Bentornato" per il Giappone [71] e l'Asia (Hong Kong, Singapore, Malesia, Thailandia e Indonesia).[72] Nella regione asiatica, un tema di personalizzazione - Dokodemo Issyo Spring Theme - è stato offerto gratuitamente oltre ai giochi già disponibili nel pacchetto "Bentornato".[72]

Giochi per PS3 disponibili per regione
Gioco Nord America [69] Europa (eccetto Germania) [70] Germania [70] Asia [72] Giappone [71]
Wipeout HD/Fury
LittleBigPlanet No No
InFamous No No No
Dead Nation No No No
Super Stardust HD No No No
Ratchet & Clank: quest for booty No No No
Hustle Kings No No
The last guy No No No
Trashbox No No No No
Come on, LocoRoco!! BuuBuu Cocoreccho No No No
Echochrome: Overture No No No No
Giochi per PSP disponibili per regione
Gioco Nord America [69] Europa (eccetto Germania) [70] Germania [70] Asia [72] Giappone [71]
LittleBigPlanet
ModNation Racers No
Pursuit Force No No No
Killzone Liberation[N 1] No No No
Everybody's Golf 2 No No No No
Buzz Junior Jungle Party No No No No
Everybody's Stress Buster No No No
Locoroco Midnight Carnival No No No
Patapon 2 No No No No
What Did I Do to Deserve This, My Lord? No No No No
  1. ^ La versione di Killzone Liberation offerta non presenta funzionalità multigiocatore.[70]

Reazione dei governi

[modifica | modifica wikitesto]

Il furto di dati ha coinvolto le autorità in tutto il mondo. Graham Cluley, consulente tecnico esperto di Sophos, ha affermato che la violazione "tra quelle che impattano gli individui si classifica sicuramente come una delle più grandi perdite di dati di sempre".[3]

Il British Information Commissioner's Office ha dichiarato che Sony sarebbe stata interrogata,[73] e che sarebbe stata condotta un'indagine per determinare se Sony avesse preso precauzioni adeguate per proteggere i dati personali dei suoi clienti.[74] Ai sensi del Data Protection Act del Regno Unito, Sony è stata multata per £250.000 a causa della violazione.[75]

Il commissario per la privacy del Canada Jennifer Stoddart ha confermato che le autorità canadesi avrebbero indagato sull'accaduto. L'ufficio del Commissario ha espresso la propria preoccupazione riguardo al motivo per cui le autorità canadesi non siano state informate prima di una breccia di sicurezza.[76]

Il senatore statunitense Richard Blumenthal del Connecticut ha richiesto delle risposte a Sony in merito al furto di dati [77] inviando un'e-mail al CEO di Scea Jack Tretton dove discuteva del ritardo nell'informare gli utenti ed insistendo sul fatto che Sony facesse di più per i propri clienti oltre che a offrire servizi gratuiti per monitorare lo storico delle transazioni. Blumenthal in seguito ha chiesto un'indagine da parte del Dipartimento di giustizia degli Stati Uniti fine a trovare il responsabile o i responsabili dell'accaduto e per determinare se Sony fosse perseguibile per il modo in cui aveva gestito la situazione.[78]

La deputata Mary Bono Mack ed il membro del Congresso GK Butterfield hanno spedito una lettera a Sony, chiedendo informazioni su quando fosse stata rilevata la breccia e riguardo a come fosse stata gestita la crisi.[79]

A Sony era stato chiesto di testimoniare davanti a un'udienza del Congresso per la sicurezza e di rispondere alle domande sulla breccia di sicurezza il 2 maggio, tuttavia ha inviato una risposta scritta.

Azione legale contro Sony

[modifica | modifica wikitesto]

Il 27 aprile è stata intentata una causa da Kristopher Johns proveniente da Birmingham, Alabama a nome di tutti gli utenti PlayStation, sostenendo che Sony "non è riuscita a crittografare i dati degli utenti e disporre firewall adeguati che permettessero di contenere un'intrusione nei server, non ha fornito avvisi tempestivi e adeguati per la breccia di sicurezza ed ha irragionevolmente aspettato ritardando il ripristino del servizio PSN".[80][81] Secondo il testo della causa, Sony non ha notificato gli utenti di una possibile violazione della sicurezza e non ha archiviato le informazioni sulle carte di credito dei membri,[82] una violazione dei criteri per la conformità PCI, lo standard di sicurezza digitale riconosciuto nel settore delle carte di pagamento.

Una causa canadese contro Sony USA, Sony Canada e Sony Japan ha chiesto danni fino ad 1 miliardo di dollari canadesi, oltre che al monitoraggio gratuito del credito e l'assicurazione per il furto di identità.[83] Il querelante è stato citato nella dichiarazione: "Se non puoi fidarti di una grande multinazionale come la Sony per la protezione dei tuoi dati personali, di chi puoi fidarti? Mi sembra che la Sony si concentri più sulla protezione dei suoi giochi che sui suoi utenti PlayStation".[84]

Nell'ottobre 2012 un giudice della California ha respinto una causa contro Sony per la breccia di sicurezza dei servizi PSN, decretando che Sony non avesse violato le leggi per la protezione dei dati personali in California, citando "non esiste la sicurezza perfetta".[85]

Nel 2013 l'Ufficio del Commissario per le informazioni del Regno Unito ha multato Sony di £250.000 per aver messo a rischio una grande quantità di dati personali e finanziari degli utenti PSN.[86]

Truffe riguardanti carte di credito

[modifica | modifica wikitesto]

A maggio 2011, non esistevano ancora prove di effettivi crimini per quanto riguarda le carte di credito interessate dalla violazione. Sono state segnalate da alcuni utenti PlayStation truffe riguardanti le carte di credito;[87][88][89] tuttavia, non era stata dimostrata una correlazione con la breccia di sicurezza. Anche gli utenti i quali avevano registrato la loro carta solo per l'utilizzo di servizi Sony hanno segnalato truffe.[90] Sony ha affermato che i codici di sicurezza richiesti dai loro servizi non erano salvati,[91] ma che gli intrusi avrebbero potuto decifrare o registrare i dettagli delle carte per la durata del loro accesso non autorizzato nella rete di Sony.[87]

Sony ha dichiarato nella sua lettera al comitato:

«Quanti utenti hanno inserito i loro dettagli di pagamento nei sistemi di Sony Computer Entertainment?

Globalmente, circa 12,3 milioni di titolari di account hanno salvato i loro dati di pagamento sui sistemi PlayStation Network. Negli Stati Uniti, circa 5,6 milioni di titolari di account avevano i loro dettagli finanziari salvati in questi sistemi. Questi dati includono sia le carte attive che quelle scadute.

Al giorno d'oggi, le società di carte di credito più importanti non hanno segnalato né rilevato un aumento nei numeri di transazioni fraudolente come risultato dell'attacco, e non ci hanno segnalato alcuna transazione a fine di frode come conseguenza della violazione.»

Il 5 maggio, in una lettera il CEO e presidente della Sony Corporation of America, Sir Howard Stringer, ha sottolineato che non esistessero prove di avvenuta frode con alcuna carta di credito e che una polizza assicurativa per furto di identità da 1 milione di dollari sarebbe stata messa in campo per gli utenti dei servizi PSN e Qriocity:[30]

«Ad oggi, non c'è conferma dell'esistenza di alcuna prova che alcuna carta di credito o dettagli personali siano stati utilizzati per scopi fraudolenti, e continuiamo a monitorare attentamente la situazione. Stiamo anche procedendo coi piani per la protezione dei nostri clienti da furti di identità in tutto il mondo. Un programma per i clienti statunitensi dei servizi PlayStation Network e Qriocity il quale include una polizza assicurativa ammontante a un milione di dollari per ogni utente è stata messa in campo in prima mattinata e presto verranno annunciati aggiornamenti per le altre regioni.»

Modifica dei termini e condizioni

[modifica | modifica wikitesto]

Si crede che una modifica ai termini e alle condizioni di PSN annunciata il 15 settembre 2011 fosse motivata dagli ingenti danni richiesti dalle cause collettive contro Sony, nel tentativo di minimizzare le perdite dell'azienda. Il nuovo accordo chiedeva agli utenti di accettare di rinunciare al loro diritto (di costituirsi come un gruppo in un'azione collettiva) di citare in giudizio Sony per qualsiasi futura violazione della sicurezza, senza prima aver cercato di risolvere qualsiasi questione legale con un ente regolatore.[92][93] Ciò includeva eventuali procedure collettive già in corso avviate prima del 20 agosto 2011.

Un'altra clausola, la quale negava il diritto degli utenti ad un processo con giuria nel caso in cui l'utente rinunciasse alla clausola prima citata (inviando una lettera a Sony), afferma:

«Nel caso la querela dell'azione collettiva sia ritenuta illegale o non applicabile, allora l'intera Sezione 15 sarà tale, e l'esito della disputa sarà determinato da un tribunale (senza giuria) e il soggetto e la Sottodivisione Sony [citata in giudizio] con cui si ha una disputa dovranno aderire ad un accordo per l'istanza di processo con giuria, fino a quanto è permesso dalla legge.»

Sony ha garantito che un tribunale del rispettivo paese, vale a dire degli Stati Uniti, sarebbe stato competente in merito ad ogni clausola o modifica dei Termini di servizio del PSN di Sony:[94]

«Quei Termini di Servizio e tutti i dubbi riguardanti all'efficienza, interpretazione, violazione o rispetto di questi ultimi, oppure i diritti, doveri e perseguibilità dell'utente e nostri saranno gestiti dalle leggi dello Stato della California. Accetti che tutte le dispute, dichiarazioni o dispute sorti in qualsiasi modo da questi Termini di Servizio e la nostra relazione con l'utente saranno discussi solo in un tribunale di giurisdizione della Contea di San Mateo, California. Accetti di rientrare in suddetta giurisdizione e responsabilità nella stessa località.»

  1. ^ a b uk.playstation.com, https://web.archive.org/web/20160303222252/http://uk.playstation.com/psn/news/articles/detail/item369506/PSN-Qriocity-Service-Update/. URL consultato il 20 ottobre 2011 (archiviato dall'url originale il 3 marzo 2016).
  2. ^ https://www.bbc.co.uk/news/technology-13192359.
  3. ^ a b https://www.telegraph.co.uk/technology/news/8475728/Millions-of-internet-users-hit-by-massive-Sony-PlayStation-data-theft.html.
  4. ^ http://www.theaustralian.com.au/australian-it/exec-tech/playstation-users-in-australia-urged-to-check-credit-card-activity/story-e6frgazf-1226045582897.
  5. ^ flickr.com, https://www.flickr.com/photos/playstationblog/sets/72157626521862165/. URL consultato il 20 ottobre 2011.
    «Information appears to have been stolen from all PlayStation Network user accounts, although not every piece of information in those accounts appears to have been stolen, [...] The criminal intruders stole personal information from all of the approximately 77 million PlayStation Network and Qriocity service accounts.»
  6. ^ Owen Good, http://kotaku.com/5804318/.
  7. ^ blog.eu.playstation.com, http://blog.eu.playstation.com/2011/04/28/playstation-network-and-qriocity-outage-faq/. URL consultato il 29 aprile 2011.
  8. ^ http://www.cbc.ca/news/business/story/2011/04/27/technology-playstation-data-breach.html.
  9. ^ news.sky.com, http://news.sky.com/home/technology/article/15979992. URL consultato il 29 aprile 2011.
  10. ^ https://www.telegraph.co.uk/technology/sony/8476757/PlayStation-hack-top-five-data-thefts.html.
  11. ^ computerandvideogames.com, http://www.computerandvideogames.com/299454/playstation-network-down-for-seventh-day/. URL consultato il 29 aprile 2011.
  12. ^ blog.us.playstation.com, http://blog.us.playstation.com/2011/05/14/ps3-system-software-update/. URL consultato il 16 maggio 2011.
  13. ^ blog.us.playstation.com, http://blog.us.playstation.com/2011/05/14/kazuo-hirai-playstation-network-relaunch-announcement/. URL consultato il 16 maggio 2011.
  14. ^ blog.us.playstation.com, 2011, http://blog.us.playstation.com/2011/05/14/play-on-%E2%80%93-psn-restoration-begins-now/. URL consultato il 16 maggio 2011.
  15. ^ blog.us.playstation.com, http://blog.us.playstation.com/2011/04/20/update-on-psn-service-outages-2/. URL consultato il 29 aprile 2011.
  16. ^ Copia archiviata. URL consultato il 31 maggio 2022 (archiviato dall'url originale il 18 maggio 2011).
  17. ^ blog.us.playstation.com, http://blog.us.playstation.com/2011/04/21/latest-update-on-psn-outage/. URL consultato il 29 aprile 2011.
  18. ^ blog.us.playstation.com, http://blog.us.playstation.com/2011/04/22/update-on-playstation-network-qriocity-services/. URL consultato il 29 aprile 2011.
  19. ^ us.playstation.com, http://us.playstation.com/support/answer/index.htm?a_id=2356. URL consultato il 29 aprile 2011.
  20. ^ blog.us.playstation.com, http://blog.us.playstation.com/2011/04/23/latest-update-for-psnqriocity-services/. URL consultato il 29 aprile 2011.
  21. ^ blog.us.playstation.com, http://blog.us.playstation.com/2011/04/25/psn-update/. URL consultato il 29 aprile 2011.
  22. ^ blog.us.playstation.com, http://blog.us.playstation.com/2011/04/26/update-on-playstation-network-and-qriocity/. URL consultato il 29 aprile 2011.
  23. ^ blog.eu.playstation.com, http://blog.eu.playstation.com/2011/05/01/some-playstation-network-and-qriocity-services-to-be-available-this-week/. URL consultato il 1º maggio 2011.
  24. ^ a b http://www.eurogamer.net/articles/2011-05-01-psn-sony-outlines-welcome-back-gifts.
  25. ^ blog.eu.playstation.com, http://blog.eu.playstation.com/2011/05/01/some-playstation-network-and-qriocity-services-to-be-available-this-week/. URL consultato il 7 maggio 2011.
  26. ^ a b soe.com, https://web.archive.org/web/20150401200733/https://www.soe.com/securityupdate/pressrelease.vm. URL consultato il 4 maggio 2011 (archiviato dall'url originale il 1º aprile 2015).
  27. ^ gameinformer.com, https://web.archive.org/web/20230321011210/https://www.gameinformer.com/b/news/archive/2011/05/02/thousands-of-credit-cards-stolen-during-second-sony-hack.aspx. URL consultato il 2 maggio 2011 (archiviato dall'url originale il 21 marzo 2023).
  28. ^ blog.us.playstation.com, http://blog.us.playstation.com/2011/05/04/sonys-response-to-the-u-s-house-of-representatives/. URL consultato il 7 maggio 2011.
  29. ^ blog.us.playstation.com, http://blog.us.playstation.com/2011/05/05/sony-offering-free-allclear-id-plus-identity-theft-protection-in-the-united-states-through-debix-inc/. URL consultato il 7 maggio 2011.
  30. ^ a b blog.us.playstation.com, http://blog.us.playstation.com/2011/05/05/a-letter-from-howard-stringer/. URL consultato il 7 maggio 2011.
  31. ^ blog.eu.playstation.com, http://blog.eu.playstation.com/2011/05/06/important-step-for-service-restoration/. URL consultato il 7 maggio 2011.
  32. ^ JC Fletcher, joystiq.com, http://www.joystiq.com/2011/05/06/psn-reactivation-delayed-for-further-testing-not-coming-back/. URL consultato il 7 maggio 2011.
  33. ^ twitter.com, 2011, https://twitter.com/SonyOnline/status/66671981101199360. URL consultato il 16 maggio 2011.
  34. ^ https://www.reuters.com/article/uk-sony-idUKLNE74505420110506?type=companyNews.
  35. ^ https://www.reuters.com/article/sony-idUSL3E7G701T20110507.
  36. ^ a b sony.net, http://www.sony.net/SonyInfo/News/Press/201105/11-0515E/index.html. URL consultato il 15 maggio 2011.
  37. ^ blog.us.playstation.com, http://blog.us.playstation.com/2011/05/14/ps3-system-software-update/. URL consultato il 15 maggio 2011.
  38. ^ foxbusiness.com, http://www.foxbusiness.com/industries/2011/05/15/japan-restart-sony-online-games-services-approved/. URL consultato il 2 giugno 2011.
  39. ^ a b eurogamer.net, http://www.eurogamer.net/articles/2011-05-18-sonys-psn-password-page-hacked. URL consultato il 18 maggio 2011.
  40. ^ kotaku.com, http://kotaku.com/5803050/. URL consultato il 18 maggio 2011.
  41. ^ https://www.pcmag.com/article2/0,2817,2385790,00.asp.
  42. ^ blog.us.playstation.com, http://blog.us.playstation.com/2011/05/04/sonys-response-to-the-u-s-house-of-representatives/. URL consultato il 5 maggio 2011.
  43. ^ blog.us.playstation.com, http://blog.us.playstation.com/2011/04/26/clarifying-a-few-psn-points/. URL consultato il 7 maggio 2011.
  44. ^ a b blog.us.playstation.com, http://blog.us.playstation.com/2011/04/27/qa-1-for-playstation-network-and-qriocity-services/. URL consultato il 29 aprile 2011.
  45. ^ http://www.pcworld.com/article/226795/sony_playstation_network_resumes_this_week.html.
  46. ^ http://www.joystiq.com/2011/05/01/psn-outage-plus-qriocity-free/.
  47. ^ vg247.com, http://www.vg247.com/2011/05/04/another-team-added-to-sonys-psn-investigation/. URL consultato il 4 maggio 2011.
  48. ^ https://www.reuters.com/article/us-sony-idUSTRE73R0Q320110504.
  49. ^ venturebeat.com, https://venturebeat.com/2011/04/22/as-playstation-network-outage-continues-hackers-deny-involvement/. URL consultato il 9 giugno 2011.
  50. ^ Cliff Edwards, PlayStation Hackers May Have Stolen Data on 75 Million Users, Sony Says, Bloomberg, 26 aprile 2011. URL consultato il 29 aprile 2011.
  51. ^ gamasutra.com, http://www.gamasutra.com/view/news/34240/Opinion_Sonys_Communication_Problem.php. URL consultato il 29 aprile 2011.
  52. ^ psnation.org, https://web.archive.org/web/20110427112834/http://www.psnation.org/2011/04/25/netflix-still-works-on-your-ps3-despite-the-outage/. URL consultato il 25 aprile 2011 (archiviato dall'url originale il 27 aprile 2011).
  53. ^ gigaom.com, https://web.archive.org/web/20110429231541/http://gigaom.com/video/playstation-network-outage-bad-news-for-netflix-hulu/. URL consultato il 29 aprile 2011 (archiviato dall'url originale il 29 aprile 2011).
  54. ^ https://www.bbc.co.uk/news/technology-13206004.
  55. ^ https://www.reuters.com/article/uk-sony-stolendata-idUKTRE73Q0F720110427.
  56. ^ pcpro.co.uk, https://web.archive.org/web/20110430060404/http://www.pcpro.co.uk/news/security/367027/sony-defends-notification-delay-in-data-fiasco. URL consultato il 29 aprile 2011 (archiviato dall'url originale il 30 aprile 2011).
  57. ^ Content.USAToday.com, http://content.usatoday.com/communities/gamehunters/post/2011/04/senator-lack-of-details-on-playstation-network-outage-troubling/1.
  58. ^ https://www.theguardian.com/technology/gamesblog/2011/apr/27/playstation-network-hack-sony.
  59. ^ https://www.telegraph.co.uk/technology/sony/8478404/PlayStation-hack-Sony-users-urged-to-change-passwords.html.
  60. ^ blog.us.playstation.com, http://blog.us.playstation.com/2011/05/02/playstation-network-security-update//. URL consultato il 7 maggio 2011.
  61. ^ Crap security lands Sony £250k fine for PlayStation Network hack, su The Register.
  62. ^ http://www.gamesindustry.biz/articles/2011-05-03-24-6-million-soe-accounts-potentially-compromised.
  63. ^ industrygamers.com, https://web.archive.org/web/20110505223935/http://www.industrygamers.com/news/sony-breach-difficult-to-excuse-say-security-experts/. URL consultato il 5 maggio 2011 (archiviato dall'url originale il 5 maggio 2011).
  64. ^ http://www.cbc.ca/news/business/story/2011/05/03/sony-data-breach-playstation.html.
  65. ^ searchsecurity.techtarget.com, http://searchsecurity.techtarget.com/news/2240035422/Sony-attack-Sony-expands-scope-of-its-massive-data-security-breach. URL consultato il 5 maggio 2011.
  66. ^ Copia archiviata. URL consultato il 31 maggio 2022 (archiviato dall'url originale il 5 maggio 2011).
  67. ^ Sony Computer Entertainment America, blog.us.playstation.com, http://blog.us.playstation.com/2011/04/28/qa-2-for-playstation-network-and-qriocity-services/. URL consultato il 29 aprile 2011.
  68. ^ Copia archiviata. URL consultato il 31 maggio 2022 (archiviato dall'url originale il 17 ottobre 2012).
  69. ^ a b c d blog.us.playstation.com, http://blog.us.playstation.com/2011/05/16/details-for-playstation-network-and-qriocity-customer-appreciation-program-in-north-america/. URL consultato il 17 maggio 2011.
  70. ^ a b c d e f g h blog.eu.playstation.com, http://blog.eu.playstation.com/2011/05/16/details-of-the-welcome-back-programme-for-scee-users-2/. URL consultato il 17 maggio 2011.
  71. ^ a b c (JA) cdn.jp.playstation.com, http://cdn.jp.playstation.com/msg/nr_20110527_psn_qriocity.html. URL consultato il 20 ottobre 2011.
  72. ^ a b c d asia.playstation.com, https://web.archive.org/web/20160306015136/https://asia.playstation.com/id/en/news/latestNewsDetail/227416. URL consultato il 28 maggio 2011 (archiviato dall'url originale il 6 marzo 2016).
  73. ^ https://www.telegraph.co.uk/technology/sony/8476441/PlayStation-hack-Sony-faces-watchdogs-questions.html.
  74. ^ Wesley Yin-Poole, eurogamer.net, http://www.eurogamer.net/articles/2011-04-27-ico-confirms-it-will-quiz-sony-over-psn. URL consultato il 29 aprile 2011.
  75. ^ https://www.theguardian.com/technology/2013/jan/24/sony-fined-over-playstation-hack.
  76. ^ canada.com, http://www.canada.com/life/Privacy+Commissioner+office+investigate+Sony+PlayStation+hack/4684627/story.html#ixzz1KlAZpsAq. URL consultato il 29 aprile 2011.[collegamento interrotto]
  77. ^ blumenthal.senate.gov, http://blumenthal.senate.gov/press/release/index.cfm?id=82698973-255D-4B92-9E18-39E5937C9361. URL consultato il 26 aprile 2011.
  78. ^ blumenthal.senate.gov, http://blumenthal.senate.gov/press/release/index.cfm?id=7BEBFD12-FFDD-40C2-BA5F-C50C7C9D9E09. URL consultato il 29 aprile 2011.
  79. ^ Copia archiviata. URL consultato il 31 maggio 2022 (archiviato dall'url originale il 30 settembre 2011).
  80. ^ news.cnet.com, https://web.archive.org/web/20110504223339/http://news.cnet.com/8301-31021_3-20057921-260.html. URL consultato il 29 aprile 2011 (archiviato dall'url originale il 4 maggio 2011).
  81. ^ dockets.justia.com, http://dockets.justia.com/docket/california/candce/3:2011cv02063/240051/. URL consultato il 3 maggio 2011.
  82. ^ informationweek.com, https://web.archive.org/web/20110429231505/http://www.informationweek.com/news/security/attacks/229402362. URL consultato il 29 aprile 2011 (archiviato dall'url originale il 29 aprile 2011).
  83. ^ gamasutra.com, http://www.gamasutra.com/view/news/34499/Canadian_Law_Firm_Files_1_Billion_Class_Action_Lawsuit_Against_Sony_Over_PSN_Data_Breach.php. URL consultato il 4 maggio 2011.
  84. ^ business.gather.com, https://web.archive.org/web/20110507064324/http://business.gather.com/viewArticle.action?articleId=281474979289837. URL consultato il 4 maggio 2011 (archiviato dall'url originale il 7 maggio 2011).
  85. ^ news.cnet.com, http://news.cnet.com/8301-1023_3-57538716-93/sony-psn-hacking-lawsuit-dismissed-by-judge/.
  86. ^ Sony Monetary Penalty Notice (archiviato dall'url originale il 26 gennaio 2013)., ICO, 2013
  87. ^ a b pcworld.com, http://www.pcworld.com/article/226775/playstation_network_users_reporting_credit_card_fraud.html. URL consultato il 30 aprile 2011.
  88. ^ ABC News, http://www.abc.net.au/news/2011-04-28/hackers-run-up-debt-for-playstation-user/2695706.
  89. ^ https://www.theguardian.com/technology/blog/2011/apr/29/playstation-network-hackers-credit-cards.
  90. ^ arstechnica.com, https://arstechnica.com/gaming/news/2011/04/ars-readers-report-credit-card-fraud-blame-sony.ars. URL consultato il 30 aprile 2011.
  91. ^ blog.us.playstation.com, 2011, http://blog.us.playstation.com/2011/04/27/qa-1-for-playstation-network-and-qriocity-services/. URL consultato il 16 maggio 2011.
  92. ^ https://www.bbc.co.uk/news/technology-14948701.
  93. ^ Copia archiviata, su pcworld.com. URL consultato il 31 maggio 2022 (archiviato dall'url originale il 24 gennaio 2012).
  94. ^ us.playstation.com, 2012, http://us.playstation.com/support/termsofservice.