我的帐户        0项-$0.00

索尼PlayStation Network Hack:我们所有人的一堂课

在几个月内,世界之一’最荒唐的黑客攻击似乎几乎被人遗忘了。

就在短短几个月前,索尼就面临着一项安全漏洞,该漏洞引起了全世界人们的关注。他们的PlayStation网络(PSN)和付费音乐流媒体服务Qriocity在2011年4月16日至4月19日之间的某个时间遭到了黑客攻击。’索尼花了很长时间才弄清楚他们’遭到黑客入侵,并于2011年4月20日立即关闭了所有设备。当时,有5500万以上的PlayStation 3控制台(PS3)和PlayStation Portables(PSP)受此关闭影响。这种关闭(以及索尼对导致关闭的原因的错误解释)引起了许多索尼客户的恐慌,因为确定黑客入侵了大约7700万条用户数据记录(即,被盗)。在这种情况下,包含人员组合的7700万条记录’的用户名,密码,信用卡信息,安全性答案,购买历史和地址。据称,总共有超过220万张信用卡号被盗。黑客利用从索尼窃取的个人详细信息,利用这些被盗信息入侵其他受欢迎的网站,以获取对其他帐户(例如Ebay,PayPal,Google Mail等)的访问权限。人们被激怒了。尘土尚未沉降。索尼确实加密了信用卡信息,但是还不足以防止盗窃,而且索尼也没有采取任何措施来保护非信用卡信息。

距Sony PlayStation Network重新上线已经过去了几个月(希望更加安全),这使我们受益于研究这些问题,并从所有进行某种形式交易的企业中汲取了教训。在互联网上,或以其他方式存储其客户的个人信息。

索尼面对什么

索尼在其博客上向全世界宣布:“也有可能获得您的个人资料数据,包括购买历史记录和账单地址,以及您的PlayStation Network / Qriocity密码安全性答案。”

索尼在多个方面都失败了。他们允许其用户(即客户)的个人信息被盗。他们也没有警告客户,并延迟了几天的公告。攻击发生在4月16日至19日之间的某个时候,索尼声称他们没有’直到19日才发现盗窃案,然后决定在20日关闭其网络。那不是’直到26日,他们向公众通报了 公开声明,表明“用户帐户信息与非法和未经授权的入侵我们的网络有关”并且他们将尝试在一周之内运行该系统。那不是’直到5月2日,他们才告诉公众有多少信用卡和用户数据记录被盗。

它没有’律师花了很长时间做出回应。到4月27日,对索尼提起了第一项诉讼。该诉讼声称索尼未能采取行业标准的措施来保护其网络和个人信息,包括未能加密其数据和拥有足够的防火墙。诉讼还声称,索尼未能及时充分警告用户违规行为。该诉讼还声称索尼没有’t遵循支付卡行业安全标准(即PCI和SDP),该标准要求公司不要存储持卡人数据的组成部分,并使用某些标准来处理持卡人数据的其余部分。在这篇博客文章中,索尼还面临来自英国,美国,加拿大,澳大利亚和中国的许多其他诉讼和威胁。

索尼的成本

索尼不得不拿出一笔可观的资金来解决问题,并控制损失。在上次报告中,仅索尼的惨败就导致了1.71亿美元的损失’口袋,不包括与针对他们提起的诉讼的抗辩(或可能支付判决)相关的费用。这笔款项包括慷慨的道歉包的费用,其中索尼提供了“welcome back”该程序为用户提供了免费游戏,一个月的免费PlayStation Plus,PlayStation 首页上的100个虚拟物品,“On Us”电影租借和当前的Music Unlimited Premium会员免费使用30天。索尼还为受到数据盗窃影响的任何人提供了为期12个月的免费身份保护计划。这是索尼的一个很好的手势,但没有’在停运的第一周内,不要阻止其股价暴跌10%,就此博客文章而言,索尼’的股价较3月至4月的高点下跌了33%以上。

谁对索尼做了这个?

“We’不放弃,因为我们’害怕执法。媒体对我们感到无聊,我们’让我们无聊。”Lulzsec的一名成员在接受美联社采访时说。

在英国,一名19岁的男性被捕,声称与索尼袭击事件的肇事者有联系。这位19岁的年轻人也被怀疑是计算机黑客组织Lulzsec的成员。 Lulz Security或Lulzsec负责许多知名度较高的攻击,包括使CIA网站脱机,损害Sony Pictures的用户帐户以及在公共广播系统上发布虚假故事’s(PBS)网站。 Lulzsec还一直在随机或针对性网站上发布个人数据,以迫使这些网站增强其安全性。例如, 他们发布了一些关于亚利桑那州的安全细节’的执法行动,明显抗议该国’的反移民改革。重新阅读 粗体字 你刚刚读。它没有’不能产生很多情感反应,对吗?但是,请查看实际数据(注意:为了保护人员,我们已更改了信息):

1) Steven G. Kissya  #3011, Highway Patrol Division, [电子邮件 protected], password: corina, 1234 S. Warrior Drive, Safford, Az 85546
   wife: Stephanie Kissya ([电子邮件 protected]), cell: 928-123-4567, home: 928-123-4567
2) Steven Lomelipia #4847, [电子邮件 protected], password: hl85648, 1234 W. Sunrise Drive, Nogales, Arizona 85621, cell: 520-123-4567
3) Larry D Turnstun #91326, [电子邮件 protected], password: amostex, 12345 E Woodstock, FLAGSTAFF, AZ 86004-0000, home: (928) 123-4567

这些“records” above are claimed to be representative of MILLIONS of 记录. 他们也有机会获得您的帐户信息吗? 至少对于我来说,看到这些信息确实会引起情感上的回应。除了在线销售商(Sony)采取的粗心或不充分的安全预防措施外,我可能会向自己(和我的企业)开放以进行攻击。

当Lulzsec发布了一份 “50 Days of Lulz” 向公众发表的声明说,Lulzsec由六人组成,他们的网站将被关闭,其黑客努力将退役。可惜的是,他们在2011年7月18日返回英国报纸网站《时报》和《太阳报》时遭到袭击。而且,即使Lulzsec确实退休了,也有其他黑客团体和个人在做同样的事情。例如,谷歌组“Anonymous.”

给我们所有人的教训

作为个人,无论我们有多谨慎,如果我们使用在线服务,我们都会(或可能已经)受到损害。至少采取以下预防措施,我们才能使这些黑客难以承受:

  • 在每个网站上都使用不同的密码,同时仍然尝试使密码难以猜测(例如,没有词典词,随机字符混合)。
  • 经常更改密码。理想的情况是每月一次,现在就更改一下,’没时间做。唐’不要忘记更改阅读电子邮件所需的密码。
  • 仅提供完成交易所需的最少量信息。名称。地址。 CC信息。唐’与需要更多信息的企业开展业务。
  • 向网站提供信息时,请确保它是安全的交易(即SSL安全)。根据您的浏览器,将有一种方法可以告诉您。 Google对此,并逐渐熟悉它。
  • 永远不要通过电子邮件发送敏感信息。
  • 实际上,开始加密您的所有电子邮件。谷歌“pgp email encryption”欲获得更多信息。
  • 永远不要从任何人那里下载和安装软件—除非它是众所周知且受信任的来源(即Apple,Microsoft,Oracle,Symantec,Norton等)。不,您的家人,同事或朋友不是’也不要信任来源。他们对计算机的了解少于您。
  • 使计算机上的软件保持最新。如果它’s running slow, you’重新可能已经被黑客入侵。将计算机带入本地计算机商店,将其擦除,然后重新开始。
  • 获取定期的信用报告,并认真检查您的信用。

作为企业,我们可以向索尼学习’的不幸。首先,无论您是否愿意,都需要在(1)安全和(2)安全专业人员上进行大量投资。您不能仅仅依靠利用它时获得的即用型安全性“one-size-fits-all” software you’为您的客户使用。例如,网站和购物车。您需要保持最新状态,并确保您拥有最新的“patches”以防止安全问题蔓延到您的产品中。

其次,您确实需要考虑“行业最佳做法。”接受信用卡时,其中包括PCI和SDP标准。确保您的供应商符合PCI / SDP。请勿将敏感信息置于无保护的状态。不满的员工是您最大的危险,因此请确保您只允许访问以下站点上的敏感客户信息“a need to know basis”仅确保您对关键员工或将有权访问敏感客户信息的那些员工进行背景调查。另外,不要’只是让一个人负责。确保有另一个人负责发现问题,并追究其他人的责任。

第三,确保你有合适的“Terms of Service” and “Privacy Notice”与您的业务相关联,并坚持下去。确实发生问题时—它将放心— make sure you disclose early and often to your customers, so they in turn may take steps to mitigate their damages. Write a good 服务条款, then stick with it. Make sure you have the right policies and procedures to support your 服务条款, and always make sure you are prepared for the worst.

法律4小型企业(L4SB)。现在有一点法律可以在以后节省很多。

标签

一则评论

发表评论

您的电子邮件地址不会被公开。

最佳