Awaria PlayStation Network w 2011 r. — 2011 PlayStation Network outage
2011 PlayStation Network przerwy (czasem określane jako PSN Hack ) był wynikiem „ wtargnięciem zewnętrznego ” na Sony „s PlayStation Network i Qriocity usług, w których dane osobowe od około 77 milionów kont zostały naruszone i zapobiec użytkowników z PlayStation 3 oraz konsole PlayStation Portable przed dostępem do usługi. Atak miał miejsce między 17 kwietnia a 19 kwietnia 2011 r., zmuszając Sony do wyłączenia PlayStation Network 20 kwietnia. 4 maja Sony potwierdziło, że ujawniono informacje umożliwiające identyfikację z każdego z 77 milionów kont. Przestój trwał 23 dni.
W czasie awarii, przy liczbie 77 milionów zarejestrowanych kont PlayStation Network, było to jedno z największych naruszeń bezpieczeństwa danych w historii. Prześcignął atak TJX z 2007 r., który dotknął 45 milionów klientów. Urzędnicy rządowi w różnych krajach wyrazili zaniepokojenie kradzieżą i tygodniowym opóźnieniem Sony przed ostrzeżeniem użytkowników.
Sony oświadczyło 26 kwietnia, że próbuje uruchomić usługi online „w ciągu tygodnia”. 14 maja Sony wydało oprogramowanie układowe PlayStation 3 w wersji 3.61 jako poprawkę bezpieczeństwa. Oprogramowanie układowe wymagało od użytkowników zmiany hasła do konta po zalogowaniu. W momencie wydania oprogramowania układowego sieć była nadal offline. Renowacja regionalna została ogłoszona przez Kazuo Hirai w nagraniu wideo firmy Sony. Udostępniono mapę odbudowy regionalnej i sieci w Stanach Zjednoczonych, gdy usługa została ponownie uruchomiona.
Kalendarium awarii
20 kwietnia 2011 r. Sony przyznało, że na oficjalnym blogu PlayStation było „świadome, że niektóre funkcje PlayStation Network” nie działają. Przy próbie zalogowania się przez PlayStation 3 użytkownicy otrzymywali komunikat informujący, że sieć jest w trakcie „konserwacji”. Następnego dnia Sony poprosiło swoich klientów o cierpliwość podczas badania przyczyny awarii i stwierdziło, że ponowne przywrócenie pełnej funkcjonalności usługi może zająć „cały dzień lub dwa”.
Firma ogłosiła później, że „wtargnięcie zewnętrzne” wpłynęło na usługi PlayStation Network i Qriocity. To włamanie miało miejsce między 17 kwietnia a 19 kwietnia. 20 kwietnia Sony zawiesiło wszystkie usługi PlayStation Network i Qriocity na całym świecie. Sony wyraziło ubolewanie z powodu przestoju i nazwało zadanie naprawy systemu „czasochłonnym”, ale doprowadziłoby do silniejszej infrastruktury sieciowej i dodatkowego bezpieczeństwa. 25 kwietnia rzecznik Sony, Patrick Seybold, powtórzył na blogu PlayStation, że naprawa i ulepszanie sieci to „czasochłonny” proces bez przewidywanego czasu zakończenia. Jednak następnego dnia Sony stwierdziło, że istnieje „jasna ścieżka do przywrócenia systemów PlayStation Network i Qriocity”, a niektóre usługi mają zostać przywrócone w ciągu tygodnia. Ponadto firma Sony przyznała, że „naruszono dane osobowe w wyniku nielegalnego włamania do naszych systemów”.
1 maja Sony ogłosiło program „Witamy z powrotem” dla klientów dotkniętych awarią. Firma potwierdziła również, że niektóre usługi PSN i Qriocity będą dostępne w pierwszym tygodniu maja. Lista usług, które mają być dostępne, obejmowała:
- Przywracanie rozgrywki online na systemach PlayStation 3 (PS3) i PSP (PlayStation Portable)
- Dotyczy to tytułów wymagających weryfikacji online i pobranych gier
- Dostęp do Music Unlimited obsługiwanej przez Qriocity na PS3/PSP dla obecnych subskrybentów
- Dostęp do zarządzania kontem i resetowania hasła
- Dostęp do pobierania niewygasłych wypożyczeń filmów na PS3, PSP i MediaGo
- Strona główna PlayStation
- Lista przyjaciół
- Funkcjonalność czatu
2 maja Sony wydało komunikat prasowy, zgodnie z którym usługi Sony Online Entertainment (SOE) zostały wyłączone w celu konserwacji z powodu potencjalnie powiązanych działań podczas pierwszego włamania. Możliwe było uzyskanie dostępu do ponad 12 000 numerów kart kredytowych, aczkolwiek w formie zaszyfrowanej , pochodzących od posiadaczy kart spoza USA oraz dodatkowych informacji z 24,7 mln kont SOE.
W ciągu tygodnia Sony wysłało list do Izby Reprezentantów USA , odpowiadając na pytania i wątpliwości dotyczące wydarzenia. W liście Sony ogłosiło, że będzie oferować polisy ubezpieczeniowe od kradzieży tożsamości w wysokości 1 miliona USD na użytkownika usług PlayStation Network i Qriocity, pomimo braku doniesień o oszustwach związanych z kartami kredytowymi. Zostało to później potwierdzone na blogu PlayStation, gdzie ogłoszono, że usługa AllClear ID Plus obsługiwana przez Debix będzie dostępna dla użytkowników w Stanach Zjednoczonych za darmo przez 12 miesięcy i będzie obejmować nadzór internetowy, całkowitą naprawę tożsamości w przypadku kradzieży i 1 milion dolarów polisy ubezpieczeniowej od kradzieży tożsamości dla każdego użytkownika.
6 maja Sony ogłosiło, że rozpoczęło „końcowe etapy wewnętrznych testów” przebudowanej sieci PlayStation. Jednak następnego dnia Sony poinformowało, że nie będzie w stanie przywrócić usług online w ciągu tygodnia podanego 1 maja, ponieważ „zakres ataku na serwery Sony Online Entertainment” nie był wówczas znany. SOE potwierdziło na swoim koncie na Twitterze, że ich gry będą dostępne dopiero po weekendzie.
Reuters zaczął informować o tym wydarzeniu jako o „największym włamaniu do Internetu w historii”. Rzecznik Sony powiedział:
- Sony usunęło dane osobowe 2500 osób skradzionych przez hakerów i zamieszczonych na stronie internetowej
- Dane zawierały nazwiska i niektóre adresy, które znajdowały się w bazie danych utworzonej w 2001 roku
- Nie ustalono daty ponownego uruchomienia
14 maja różne usługi zaczęły powracać online w poszczególnych krajach, poczynając od Ameryki Północnej. Usługi te obejmowały: logowanie do usług PSN i Qriocity (w tym resetowanie hasła), rozgrywkę online na PS3 i PSP, odtwarzanie wypożyczonych treści wideo, usługę Music Unlimited (PS3 i PC), dostęp do usług stron trzecich (takich jak Netflix, Hulu, Vudu i MLB.tv), lista znajomych, funkcja czatu i PlayStation Home. Akcje pojawiły się wraz z aktualizacją oprogramowania układowego dla PS3 w wersji 3.61. Na dzień 15 maja służba w Japonii i Azji Wschodniej nie została jeszcze zatwierdzona.
18 maja SOE zamknęło stronę resetowania hasła w swojej witrynie po odkryciu innego exploita, który umożliwiał użytkownikom resetowanie haseł innych użytkowników przy użyciu jego adresu e-mail i daty urodzenia. Logowanie przy użyciu danych PSN do różnych innych witryn Sony również zostało wyłączone, ale nie miało to wpływu na logowanie do konsoli.
23 maja Sony poinformowało, że koszty przestoju wyniosły 171 milionów dolarów.
Odpowiedź Sony
Amerykańska Izba Reprezentantów
Sony poinformowało 4 maja na blogu PlayStation, że:
Kazuo Hirai, prezes zarządu Sony Computer Entertainment America, przesłał pisemne odpowiedzi na pytania zadane przez podkomisję United States House dotyczące cyberataku na dużą skalę, którego doświadczyliśmy.
Sony przekazało w liście, że:
Podsumowując, powiedzieliśmy podkomisji, że radząc sobie z tym cyberatakiem, kierujemy się czterema kluczowymi zasadami:
- Działaj ostrożnie i ostrożnie.
- Podaj odpowiednie informacje opinii publicznej po ich zweryfikowaniu.
- Weź odpowiedzialność za nasze zobowiązania wobec naszych klientów.
- Współpracuj z organami ścigania.
Poinformowaliśmy również podkomisję o:
- Sony padło ofiarą bardzo starannie zaplanowanego, bardzo profesjonalnego i wysoce wyrafinowanego cyberataku przestępczego.
- Odkryliśmy, że intruzi umieścili plik na jednym z naszych serwerów Sony Online Entertainment o nazwie „Anonymous” ze słowami „We are Legion”.
- Do 25 kwietnia zespoły kryminalistyczne były w stanie potwierdzić zakres danych osobowych, które ich zdaniem zostały zabrane, i nie mogły wykluczyć, czy uzyskano dostęp do informacji o karcie kredytowej. 26 kwietnia poinformowaliśmy o tych faktach klientów.
- Na dzień dzisiejszy główne firmy obsługujące karty kredytowe nie zgłosiły żadnych nieuczciwych transakcji, które ich zdaniem są bezpośrednim wynikiem tego cyberataku.
- Ochrona danych osobowych osób fizycznych jest najwyższym priorytetem, a zapewnienie bezpieczeństwa Internetu do celów handlowych jest również niezbędne. Na całym świecie kraje i firmy będą musiały połączyć siły, aby zapewnić bezpieczeństwo handlu w Internecie i znaleźć sposoby na zwalczanie cyberprzestępczości i cyberterroryzmu.
- Podejmujemy szereg kroków, aby zapobiec przyszłym naruszeniom, w tym podwyższony poziom ochrony i szyfrowania danych; zwiększona zdolność wykrywania włamań do oprogramowania, nieautoryzowanego dostępu i nietypowych wzorców aktywności; dodatkowe zapory; utworzenie nowego centrum danych w nieujawnionej lokalizacji o zwiększonym bezpieczeństwie; oraz mianowanie nowego dyrektora ds. bezpieczeństwa informacji.
Wyjaśnienie opóźnień
26 kwietnia 2011 r. Sony wyjaśniło na blogu PlayStation, dlaczego tak długo trwało informowanie użytkowników PSN o kradzieży danych:
Istnieje różnica w czasie między momentem, w którym stwierdziliśmy, że doszło do włamania, a momentem, w którym dowiedzieliśmy się o naruszeniu danych konsumentów. Dowiedzieliśmy się, że 19 kwietnia doszło do włamania, a następnie zamknęliśmy usługi. Następnie zaprosiliśmy zewnętrznych ekspertów, aby pomogli nam dowiedzieć się, jak doszło do włamania, i przeprowadzili dochodzenie w celu ustalenia charakteru i zakresu incydentu. Konieczne było przeprowadzenie kilkudniowej analizy kryminalistycznej, a nasi eksperci dopiero wczoraj zrozumieli zakres naruszenia. Następnie podzieliliśmy się tymi informacjami z naszymi konsumentami i ogłosiliśmy je publicznie dziś po południu.
Dochodzenie Sony
Możliwa kradzież danych skłoniła Sony do przedstawienia aktualizacji dotyczącej dochodzenia karnego na blogu opublikowanym 27 kwietnia: „Obecnie współpracujemy w tej sprawie z organami ścigania, a także z uznaną firmą technologiczną zajmującą się bezpieczeństwem w celu przeprowadzenia pełnego dochodzenia. atak na nasz system i na naszych klientów jest czynem przestępczym i postępujemy agresywnie, aby znaleźć osoby odpowiedzialne.
3 maja dyrektor generalny Sony Computer Entertainment, Kazuo Hirai, powtórzył to i powiedział, że „wtargnięcie zewnętrzne”, które spowodowało zamknięcie PlayStation Network, stanowi „kryminalny cyberatak”. Hirai rozwinął się dalej, twierdząc, że systemy Sony były atakowane przed awarią „przez ostatnie półtora miesiąca”, co sugeruje wspólną próbę wycelowania w Sony.
4 maja Sony ogłosiło, że dołącza Data Forte do zespołu dochodzeniowego Guidance Software i Protiviti w zakresie analizy ataków. Prawnymi aspektami sprawy zajmowała się firma Baker & McKenzie. Sony wyraziło przekonanie, że Anonymous , zdecentralizowana, niezorganizowana, luźno powiązana grupa hakerów i aktywistów mogła dokonać ataku. Żaden Anons nie zgłosił żadnego udziału.
Dowiedziawszy się, że doszło do naruszenia, Sony wszczęło wewnętrzne dochodzenie. Sony poinformowało w liście do Kongresu Stanów Zjednoczonych:
Jeden z naszych pierwszych telefonów był do FBI, a to jest aktywne, trwające śledztwo.
Czy zidentyfikowałeś, jak doszło do naruszenia?
Tak, tak nam się wydaje. Sony Network Entertainment America kontynuuje śledztwo w sprawie tego włamania przestępczego i podczas tego procesu mogą zostać odkryte bardziej szczegółowe informacje. Niechętnie udostępniamy publicznie wszystkie szczegóły, ponieważ informacje te są przedmiotem toczącego się dochodzenia kryminalnego, a także mogą zostać wykorzystane do wykorzystania luk w systemach innych niż Sony, które mają podobną architekturę do PlayStation Network.
Brak możliwości korzystania z zawartości PlayStation 3
Podczas gdy większość gier pozostawała grywalna w trybach offline, PlayStation 3 nie było w stanie grać w niektóre tytuły Capcom w żadnej formie. Dostawcy strumieniowego przesyłania wideo w różnych regionach, takich jak Hulu , Vudu , Netflix i LoveFilm, wyświetlali ten sam komunikat o konserwacji. Niektórzy użytkownicy twierdzili, że mogą korzystać z usługi przesyłania strumieniowego Netflix, ale inni nie byli w stanie.
Krytyka Sony
Opóźnione ostrzeżenie o możliwej kradzieży danych
26 kwietnia, prawie tydzień po awarii, Sony potwierdziło, że „nie może wykluczyć możliwości”, że dane osobowe, takie jak nazwa użytkownika konta PlayStation Network, hasło, adres domowy i adres e-mail, zostały przejęte. Sony wspomniało również o możliwości pobrania danych karty kredytowej — po stwierdzeniu, że w bazach danych zastosowano szyfrowanie, co częściowo spełniałoby wymogi zgodności z PCI w zakresie przechowywania informacji o kartach kredytowych na serwerze. Po ogłoszeniu zarówno na oficjalnym blogu, jak i w e-mailu, użytkownicy zostali poproszeni o zabezpieczenie transakcji kartą kredytową poprzez sprawdzenie wyciągów bankowych. To ostrzeżenie pojawiło się prawie tydzień po początkowym „ włamaniu z zewnątrz ” i gdy sieć była wyłączona.
Niektóre sporne to wyjaśnienie i zapytaliśmy, że jeśli Sony uznaje sytuację tak poważne, że musieli wyłączyć sieć, Sony powinno ostrzegają użytkowników o możliwej kradzieży danych wcześniej niż 26 kwietnia pojawiły się obawy na łamanie PCI zgodności i porażki aby natychmiast powiadomić użytkowników. Amerykański senator Richard Blumenthal napisał do dyrektora generalnego Sony Computer Entertainment America Jacka Trettona, kwestionując opóźnienie.
Sony odpowiedziało w liście do podkomisji:
Twoje oświadczenie wskazuje, że nie masz obecnie dowodów na to, że uzyskano informacje o karcie kredytowej, ale nie możesz wykluczyć takiej możliwości. Wyjaśnij, dlaczego nie uważasz, że uzyskano informacje o karcie kredytowej i dlaczego nie możesz ustalić, czy dane zostały rzeczywiście pobrane. Jak wspomniano powyżej, firma Sony Network Entertainment America nie była w stanie stwierdzić z całą pewnością na podstawie przeprowadzonej dotychczas analizy kryminalistycznej, że informacje o karcie kredytowej nie zostały przeniesione z systemu PlayStation Network. Wiemy, że w przypadku innych danych osobowych zawartych w bazie kont haker wykonał zapytania do bazy danych, a zewnętrzne zespoły kryminalistyki widziały duże ilości danych przesyłanych w odpowiedzi na te zapytania. Nasze zespoły kryminalistyki nie widziały zapytań i odpowiednich transferów danych dotyczących informacji o karcie kredytowej.
Nieszyfrowane dane osobowe
Dane karty kredytowej były zaszyfrowane, ale Sony przyznało, że inne informacje użytkownika nie były szyfrowane w momencie włamania. The Daily Telegraph poinformował, że „Jeśli dostawca przechowuje hasła w postaci niezaszyfrowanej, bardzo łatwo jest komuś innemu – nie tylko zewnętrznemu napastnikowi, ale członkom personelu lub wykonawcom pracującym na stronie Sony – uzyskać dostęp i odkryć te hasła, potencjalnie wykorzystując je do nikczemne środki”. 2 maja Sony wyjaśniło status „niezaszyfrowanych” haseł użytkowników, stwierdzając, że:
Chociaż przechowywane hasła nie były „zaszyfrowane”, zostały przekształcone za pomocą kryptograficznej funkcji skrótu . Istnieje różnica między tymi dwoma rodzajami środków bezpieczeństwa, dlatego powiedzieliśmy, że hasła nie zostały zaszyfrowane. Ale chcę być bardzo jasne, że hasła nie były przechowywane w naszej bazie danych w postaci zwykłego tekstu.
Brytyjskie Biuro Rzeczników Informacji
Po formalnym dochodzeniu firmy Sony w sprawie naruszeń brytyjskiej ustawy o ochronie danych z 1998 r. Biuro Komisarzy ds. Informacji wydało oświadczenie bardzo krytyczne w stosunku do zabezpieczeń, jakie firma Sony wprowadziła:
Jeśli jesteś odpowiedzialny za tak wiele danych kart płatniczych i danych do logowania, zabezpieczenie tych danych osobowych musi być Twoim priorytetem. W tym przypadku tak się nie stało, a gdy baza danych była celem ataku – aczkolwiek w określonym ataku przestępczym – zastosowane środki bezpieczeństwa po prostu nie były wystarczająco dobre. Nie ma co ukrywać, że jest to biznes, który powinien był wiedzieć lepiej. Jest to firma, która handluje swoją wiedzą techniczną i nie mam wątpliwości, że mieli dostęp zarówno do wiedzy technicznej, jak i zasobów, aby zapewnić bezpieczeństwo tych informacji.
Sony zostało ukarane grzywną w wysokości 250 000 funtów (395 000 dolarów) za środki bezpieczeństwa tak słabe, że nie były zgodne z brytyjskim prawem.
Awaria Sony Online Entertainment
3 maja Sony poinformowało w komunikacie prasowym, że może istnieć korelacja między atakiem, który miał miejsce 16 kwietnia na PlayStation Network, a atakiem, który skompromitował Sony Online Entertainment 2 maja. Ta część ataku zakończyła się kradzieżą informacji na 24,6 miliona posiadaczy kont Sony Online Entertainment. Baza danych zawierała 12 700 numerów kart kredytowych, w szczególności tych pochodzących z krajów spoza USA, i nie była używana od 2007 r., ponieważ większość danych dotyczyła wygasłych kart i usuniętych kont. Sony zaktualizowało te informacje następnego dnia, stwierdzając, że tylko 900 kart w bazie danych jest nadal ważnych. Atak spowodował zawieszenie serwerów SOE i gier na Facebooku . SOE przyznało 30 dni wolnego czasu oraz jeden dzień za każdy dzień awarii serwera użytkownikom gier Clone Wars Adventures , DC Universe Online , EverQuest , EverQuest II , EverQuest Online Adventures , Free Realms , Pirates of the Burning Sea , PlanetSide , Poxnora , Star Wars Galaxies i Vanguard: Saga of Heroes , a także inne formy rekompensaty za wszystkie inne gry Sony Online.
Eksperci ds. bezpieczeństwa Eugene Lapidous z AnchorFree, Chester Wisniewski z Sophos Canada i Avner Levin z Ryerson University skrytykowali firmę Sony, kwestionując jej metody zabezpieczania danych użytkowników. Lapidous nazwał naruszenie „trudnym do usprawiedliwienia”, a Wiśniewski nazwał to „aktem pychy lub po prostu rażącej niekompetencji”.
Reakcja
Odszkodowanie dla użytkowników
Sony zorganizowało specjalne wydarzenia po powrocie PlayStation Network do użytku. Sony oświadczyło, że ma plany dotyczące wersji DC Universe Online i Free Realms na PS3, aby złagodzić niektóre z ich strat. Na konferencji prasowej w Tokio 1 maja firma Sony ogłosiła program „Witamy z powrotem”. Oprócz „wybranej zawartości rozrywkowej PlayStation” program obiecywał 30-dniowe bezpłatne członkostwo w PlayStation Plus dla wszystkich członków PSN, podczas gdy obecni członkowie PlayStation Plus otrzymali dodatkowe 30 dni na swoją subskrypcję. Subskrybenci Qriocity otrzymali 30 dni. Sony obiecało inne treści i usługi w nadchodzących tygodniach. Firma Sony zaoferowała wszystkim użytkownikom roczną bezpłatną ochronę przed kradzieżą tożsamości, a szczegółowe informacje zostaną wkrótce opublikowane.
Hulu zrekompensowało użytkownikom PlayStation 3 niemożność korzystania z ich usług podczas przerwy, oferując jeden tydzień darmowej usługi członkom Hulu Plus.
16 maja 2011 r. Sony ogłosiło, że dwie gry na PlayStation 3 i dwie gry na PSP będą oferowane bezpłatnie z listy odpowiednio pięciu i czterech. Dostępne gry różniły się w zależności od regionu i były dostępne tylko w krajach, które miały dostęp do PlayStation Store przed awarią. 27 maja 2011 r. Sony ogłosiło pakiet powitalny dla Japonii i regionu Azji (Hong Kong, Singapur, Malezja, Tajlandia i Indonezja). W regionie Azji, poza grami dostępnymi w pakiecie powitalnym, zaoferowano za darmo motyw - Dokodemo Issyo Spring Theme .
^† Na rynku japońskim oferowanych jest 5 gier na PSP.
| Gra | Ameryka północna | Europa (poza Niemcami) | Niemcy | Azja | Japonia |
|---|---|---|---|---|---|
| Wymazywanie HD/Fury | tak | tak | tak | tak | tak |
| Mała duża planeta | tak | tak | tak | Nie | Nie |
| Niesławny | tak | tak | Nie | Nie | Nie |
| Martwy naród | tak | tak | Nie | Nie | Nie |
| Super Stardust HD | tak | Nie | tak | Nie | Nie |
| Ratchet & Clank: Quest for Booty | Nie | tak | tak | Nie | Nie |
| Królowie zgiełku | Nie | Nie | tak | tak | tak |
| Ostatni facet | Nie | Nie | Nie | tak | tak |
| Kosz na śmieci | Nie | Nie | Nie | tak | Nie |
| Chodź, LocoRoco!! BuuBuu Cocoreccho | Nie | Nie | Nie | tak | tak |
| Echochromia: Uwertura | Nie | Nie | Nie | Nie | tak |
| Gra | Ameryka północna | Europa (poza Niemcami) | Niemcy | Azja | Japonia |
|---|---|---|---|---|---|
| Mała duża planeta | tak | tak | tak | tak | tak |
| Wyścigi ModNation | tak | tak | tak | tak | Nie |
| Siła Pościgu | tak | tak | Nie | Nie | Nie |
| Wyzwolenie strefy śmierci | tak | tak | Nie | Nie | Nie |
| Golf dla wszystkich 2 | Nie | Nie | tak | Nie | Nie |
| Buzz Junior Jungle Party | Nie | Nie | tak | Nie | Nie |
| Pogromca stresu dla wszystkich | Nie | Nie | Nie | tak | tak |
| Locoroco Midnight Carnival | Nie | Nie | Nie | tak | tak |
| Patapon 2 | Nie | Nie | Nie | Nie | tak |
| Co zrobiłem, aby na to zasłużyć, mój Panie? | Nie | Nie | Nie | Nie | tak |
^‡ Oferowana wersjaKillzone Liberationnie oferuje funkcji rozgrywki online.
Reakcja rządu
Kradzież danych dotyczyła władz na całym świecie. Graham Cluley, starszy konsultant ds. technologii w Sophos , powiedział, że naruszenie „z pewnością zalicza się do największych strat danych, jakie kiedykolwiek dotknęły osoby fizyczne”.
Biuro Brytyjskiego Komisarza ds. Informacji stwierdziło, że Sony zostanie przesłuchane i zostanie przeprowadzone dochodzenie w celu ustalenia, czy Sony podjęło odpowiednie środki ostrożności w celu ochrony danych klientów. Zgodnie z brytyjską ustawą o ochronie danych firma Sony została ukarana grzywną w wysokości 250 000 funtów za naruszenie.
Komisarz ds. Prywatności Kanady Jennifer Stoddart potwierdziła, że kanadyjskie władze podejmą dochodzenie. Biuro Komisarza wyraziło zaniepokojenie, dlaczego władze w Kanadzie nie zostały wcześniej poinformowane o naruszeniu bezpieczeństwa.
Amerykański senator Richard Blumenthal z Connecticut zażądał od Sony odpowiedzi na temat naruszenia bezpieczeństwa danych, wysyłając e-maila do prezesa SCEA Jacka Trettona, argumentując to opóźnieniem w informowaniu klientów i nalegając, aby firma Sony robiła dla swoich klientów więcej niż tylko oferowanie bezpłatnych usług raportowania kredytowego. Blumenthal wezwał później Departament Sprawiedliwości Stanów Zjednoczonych do przeprowadzenia dochodzenia w celu znalezienia osoby lub osób odpowiedzialnych i ustalenia, czy firma Sony była odpowiedzialna za sposób, w jaki poradziła sobie z sytuacją.
Kongresmenka Mary Bono Mack i kongresman GK Butterfield wysłali list do Sony, żądając informacji o tym, kiedy wykryto naruszenie i jak kryzys zostanie rozwiązany.
Sony zostało poproszone o złożenie zeznań przed przesłuchaniem w Kongresie w sprawie bezpieczeństwa oraz o udzielenie odpowiedzi na pytania dotyczące naruszenia bezpieczeństwa w dniu 2 maja, ale zamiast tego wysłało pisemną odpowiedź.
Działania prawne przeciwko Sony
Pozew został opublikowany 27 kwietnia przez Kristophera Johnsa z Birmingham w Alabamie w imieniu wszystkich użytkowników PlayStation, twierdząc, że Sony „nie zaszyfrowało danych i nie ustanowiło odpowiednich zapór ogniowych, aby poradzić sobie z ewentualnymi włamaniami do serwera, nie dostarczyło szybkich i odpowiednich ostrzeżeń o naruszeniach bezpieczeństwa oraz nieuzasadnione opóźnienie w ponownym uruchomieniu usługi PSN”. Zgodnie ze skargą złożoną w pozwie, Sony nie powiadomiło członków o możliwym naruszeniu bezpieczeństwa i przechowywaniu informacji o kartach kredytowych członków, co stanowi naruszenie zgodności ze standardem PCI — cyfrowym standardem bezpieczeństwa dla branży kart płatniczych.
Kanadyjski pozew przeciwko Sony USA, Kanady i Sony Sony Japan twierdził szkód do C $ 1 mld w tym bezpłatny kredyt monitorowania i ubezpieczenia kradzieży tożsamości. Cytowano powoda, który powiedział: „Jeśli nie możesz zaufać ogromnej międzynarodowej korporacji, takiej jak Sony, w zakresie ochrony twoich prywatnych informacji, komu możesz zaufać? Wydaje mi się, że Sony koncentruje się bardziej na ochronie swoich gier niż użytkowników PlayStation”. .
W październiku 2012 roku kalifornijski sędzia oddalił pozew przeciwko Sony w sprawie naruszenia bezpieczeństwa PSN, orzekając, że Sony nie naruszyło kalifornijskich przepisów ochrony konsumentów, powołując się na „nie ma czegoś takiego jak doskonałe bezpieczeństwo”.
W 2013 r. brytyjskie Biuro Komisarza ds. Informacji nałożyło na Sony karę w wysokości 250 000 funtów za narażenie na ryzyko dużej ilości danych osobowych i finansowych klientów PSN.
Oszustwo z wykorzystaniem karty kredytowej
Według stanu na maj 2011 r. nie było możliwych do zweryfikowania zgłoszeń oszustw związanych z kartami kredytowymi związanych z awarią. W Internecie pojawiły się doniesienia, że niektórzy użytkownicy PlayStation doświadczyli oszustw związanych z kartami kredytowymi; jednak miały one być jeszcze powiązane z incydentem. Użytkownicy, którzy zarejestrowali kartę kredytową do użytku wyłącznie w firmie Sony, zgłosili również oszustwa związane z kartami kredytowymi. Sony powiedziało, że kody CSC żądane przez ich usługi nie były przechowywane, ale hakerzy mogli odszyfrować lub zapisać dane karty kredytowej podczas przebywania w sieci Sony.
Sony stwierdziło w liście do podkomisji:
Ilu posiadaczy kont PlayStation Network przekazało dane karty kredytowej firmie Sony Computer Entertainment?
Na całym świecie około 12,3 miliona posiadaczy kont posiadało informacje o karcie kredytowej zapisane w systemie PlayStation Network. W Stanach Zjednoczonych około 5,6 mln posiadaczy kont posiadało w systemie informacje o kartach kredytowych. Te liczby obejmują aktywne i wygasłe karty kredytowe.
Na dzień dzisiejszy główne firmy obsługujące karty kredytowe nie zgłosiły wzrostu liczby nieuczciwych transakcji kartami kredytowymi w wyniku ataku i nie zgłosiły nam żadnych nieuczciwych transakcji, które ich zdaniem są bezpośrednim skutkiem opisanych powyżej włamań.
5 maja list od dyrektora generalnego i prezesa Sony Corporation of America, Sir Howarda Stringera, podkreślił, że nie ma dowodów na oszustwa związane z kartami kredytowymi i że dla użytkowników PSN i Qriocity będzie dostępna polisa ubezpieczenia od kradzieży tożsamości o wartości 1 miliona dolarów:
Do chwili obecnej nie ma potwierdzonych dowodów na nadużycie jakiejkolwiek karty kredytowej lub danych osobowych i nadal uważnie monitorujemy sytuację. Realizujemy również plany ochrony naszych klientów przed kradzieżą tożsamości na całym świecie. Program dla amerykańskich klientów PlayStation Network i Qriocity, który obejmuje 1 milion dolarów polisy ubezpieczeniowej od kradzieży tożsamości na użytkownika, został uruchomiony dzisiaj, a ogłoszenia dla innych regionów pojawią się wkrótce.
Zmiana regulaminu
Zasugerowano, że zmiana warunków PSN ogłoszona 15 września 2011 r. była motywowana dużymi odszkodowaniami, dochodzonymi w pozwach zbiorowych przeciwko Sony, w celu zminimalizowania strat firmy. Nowi użytkownicy muszą zgodzić się umowy zrezygnować ze swojego prawa (do przyłączenia się razem jako grupa w postępowaniu grupowym ) pozywania Sony na każdej przyszłej naruszenia bezpieczeństwa, bez uprzedniego próbuje rozwiązać kwestie prawne z arbitra. Obejmuje to wszelkie toczące się pozwy zbiorowe wszczęte przed 20 sierpnia 2011 r.
Inna klauzula, która usunęła prawo użytkownika do procesu przed ławą przysięgłych, jeśli użytkownik zrezygnuje z klauzuli (wysyłając list do Sony), mówi:
Jeśli klauzula o zrzeczeniu się prawa do pozwu zbiorowego zostanie uznana za niezgodną z prawem lub niewykonalną, cała sekcja 15 będzie niewykonalna, a spór zostanie rozstrzygnięty przez sąd, a użytkownik i podmiot Sony mają spór, z którym każdy zgadza się zrzec się w tym przypadku, w najszerszym zakresie dozwolonym przez prawo, dowolny proces z udziałem ławy przysięgłych.
Firma Sony zagwarantowała, że sąd w odpowiednim kraju, w tym przypadku w Stanach Zjednoczonych, będzie miał jurysdykcję w odniesieniu do wszelkich zasad lub zmian w Regulaminie Sony PSN:
Niniejsze Warunki świadczenia usług oraz wszelkie pytania dotyczące wykonywania, interpretacji, naruszenia lub egzekwowania niniejszych Warunków świadczenia usług lub praw, obowiązków i zobowiązań na ich podstawie, zarówno użytkownika, jak i nas, podlegają prawu stanu Kalifornia. Zgadzasz się, że wszelkie spory, roszczenia lub spory wynikające lub w jakikolwiek sposób związane z niniejszymi Warunkami świadczenia usług oraz naszymi relacjami z Tobą będą rozpatrywane wyłącznie w sądzie właściwej jurysdykcji w hrabstwie San Mateo w stanie Kalifornia. Zgadzasz się podlegać osobistej jurysdykcji i miejscu w tej lokalizacji.