לסוני פשוט לא הולך בזמן האחרון. עוד לא התייבש הדיו הדיגיטלי מהסיפור של הפריצה האחרונה והמשפט של ג'ורג' הוץ, לבעלי ה-PS3 שלחלקם נמחקו סטטיסטיקות מהחשבון בקושי היה זמן לנשום לרווחה, וכבר הגיעה השערורייה הבאה, וזו שערורייה שלא שיערנו שתיתכן שכמותה. היא גורמת לקודמת להיראות כמו פיקניק שלו של שבת בבוקר.
לפני שבוע נפלה ה-PSN, הרשת שעליה מתבססים כל משחקי האונליין של ה-PS, וגם כל ההורדות והקניות. רבים ברחבי העולם מיהרו להאשים את קבוצת ההאקרים Anonymous, שכבר הוכיחו בעבר שהם לא בדיוק אוהבים את סוני, אבל אנונימוס הכחישו בתוקף, בטענה שהם רוצים לפגוע בסוני, ולא בלקוחות (וחוץ מזה, אנונימוס תמיד מתגאים בתקיפות שלהם, אז אם הם מכחישים זה מספיק טוב בשבילי).
אחרי יומיים מלאים שבהם סוני זרקה לאוויר כל מיני הכרזות גנריות כמו "בעיות טכניות", "אנחנו עובדים על למצוא את מקור הבעיה" וכו', הגיע סוף סוף בשבת עדכון רשמי בבלוג של סוני, שאומר "אנחנו מפגרים ולא יודעים לנהל יחסי ציבור". לא בדיוק בניסוח הזה, כמובן. הניסוח המדויק היה "בעצם ידענו כבר מהרגע הראשון שהייתה תקיפה חיצונית, ולמעשה אנחנו בעצמנו סגרנו את ה-PSN כדי לבדוק מה קרה". לא בטוח שזו הדרך להתנהל מול לקוחות, אבל עד כאן זו סתם פדיחה. בלגן, לא נעים, סוני יצאו מעפנים, אבל שום דבר שלא ראינו קודם.
ביום שלישי (אחרי 5 ימים אופליין) נחתה פצצת אטום: סוני גילתה שמי שפרץ ל-PSN הצליח לגנוב את כל המידע של כל המשתמשים. כולל פרטים אישיים, כתובות, סיסמאות ופרטי כרטיס אשראי. של כל המשתמשים. בעולם.
זה יום הדין. זה התסריט הכי רע. זה Project Mayhem פוגש את The Net. למישהו שם בעולם יש פרטים אישיים, סיסמאות וכרטיסי אשראי של עשרות מיליוני אנשים. ובנוסף לכל זה, עדיין אי אפשר לשחק אונליין. כל עוד לא מופיעים תנינים ואוכלים את הילדים של כל בעלי הפלייסטיישן בעולם, זה באמת לא יכול להיות יותר גרוע. ורק כדי להבהיר שזה באמת קורה, יש כבר אנשים שדיווחו על נסיונות להשתמש בכרטיס האשראי שלהם.
אם אתם רשומים ב-PSN ולא שמעתם על הסיפור הזה – רוצו לבדוק את עניין הסיסמאות והאשראי. חוץ מזה, נקודה למחשבה: מעבר לנזק הברור ללקוחות, הנזק לסוני הוא הרסני. אני בספק אם מישהו ששמע על הסיפור הזה ישקול ברצינות לקנות פלייסטיישן אי פעם, ואם זה לא מספיק, גם הגישו נגדם תביעה ייצוגית על כל הסיפור.
לסיום, כמה דברים שכולנו יכולים ללמוד מהסיפור הזה:
- לא להשתמש באותה סיסמה להרבה שירותים שונים. (לי אישית יש כמה סיסמאות בדרגות חוזק שונות, שאני משתמש בהן בהתאם לצורך, וחוץ מזה סיסמאות ייחודיות וחזקות מאוד לבנק, לג'ימייל ול-PayPal)
- לא לשמור פרטי כרטיס אשראי בשום מקום אלא אם אין ברירה. וכל גוף שמנהל עסקים באינטרנט ולא תומך ב-PayPal, מגיע לו להישרף.
- אף פעם, אף פעם, לא לשמור סיסמאות של משתמשים בגלוי. אין שום סיבה לעשות את זה, כי תמיד אפשר לשמור hash של הסיסמה. סוני יצאו פה נובים ברמות.
- תמיד יכול להיות יותר גרוע. (תנינים, ילדים וכו')
אם יהיו עוד עדכונים חשובים, נפרסם פה בתגובות, ובכל מקרה נדבר על הסיפור בהרחבה בפודקאסט הקרוב.
28 באפריל, 2011 בשעה 2:30
FIRST!
כמות החרא שהולכת לעוף לכיוון anon תיהיה גדולה. הם יכולים להכחיש אבל המתקפה הראשונה עיצבנה מספיק גיימרים בשביל להסיט את צומת הלב אליהם. ההאקר בחר היטב את זמן ההתקפה.
אין לי קונסולות (וסביר להניח שלא יהיו) אבל קבלו את תנחומי, פריצה לפרטים האישיים שלכם זה אף פעם לא נחמד.
28 באפריל, 2011 בשעה 7:54
בהחלט לא נעים, אבל ההצהרה "אני בספק אם מישהו ששמע על הסיפור הזה ישקול ברצינות לקנות פלייסטיישן אי פעם" מאוד, מאוד מוגזמת לטעמי. בוודאי שישקלו ברצינות, ובוודאי שיקנו. הסיפור הזה, עד כמה שקשה להאמין עכשיו, יעלם וישכח בעוד כמה חודשים.
28 באפריל, 2011 בשעה 7:56
ורק לפני שעתיים סוני שלחו לנו אימייל מסודר. רק לפני שעתיים.
28 באפריל, 2011 בשעה 10:06
אילן, בעיניי מי ששמוע על זה ובוחר לשכוח הוא או תמים או טיפש.
לבטוח בחברה שהפקירה את הפרטים האישיים שלך ופגעה לך בכיס סתם ככה זה לא פחות מטיפשות.
28 באפריל, 2011 בשעה 10:13
אבל דניאל, ברור שזה מה שיקרה. הרצון לשחק במשחק הבא שיצא רק לפלייסטיישן גדול הרבה יותר מעוצמת הזיכרון של מי שלקחו לו את הפרטים.
28 באפריל, 2011 בשעה 10:19
זה לא בהכרח נכון. כן, יש הרבה דברים שאנשים יתעלמו מהם אם נותנים להם Shiny new IPs. אבל גניבה של כל הפרטים האישיים שלך כולל סיסמאות ופרטי כרטיס אשראי זה משהו שיגרום להרבה אנשים לחשוב פעמיים לפני שהם יבטחו בסוני.
מעבר לזה, תחשבו על כל האנשים שלא באמת אכפת להם מכמה כותרים אקסקלוסיביים בודדים. מיליוני אנשים שקונים קונסולות, ועד עכשיו אולי התלבטו אם עדיף אקסבוקס או PS, אבל ברגע שהם ישמעו על הסיפור הזה נראה לכם שבאמת תהיה פה התלבטות?
28 באפריל, 2011 בשעה 10:28
@אילן: אתה זוכר את הסיפור שהיה עם ה-DRM של Spore? שכולם שנאו בגללו את EA ונשבעו לא לקנות את Spore לעולם?
זה היה לפני שנתיים וחצי, ואנשים עדיין זוכרים את זה. וזה בכמה סדרי גודל פחות גרוע ממה שקרה לסוני.
28 באפריל, 2011 בשעה 10:36
עופר – זה נכון, אבל לא לקנות את Spore זו החלטה קלה יותר מאשר לא לקנות פלייסטיישן 3. רוב האנשים שהחליטו לא לקנות את Spore לא חשבו על זה יותר מחודש אחרי שהוא יצא. קונסולת משחקים, לעומת זאת, זה משהו שכל הזמן יוצאים לו פיתויים חדשים. אבל כמו שאמרת – אנשים שהתלבטו אם לקנות Xbox או PS3 ימצאו עכשיו סיבה חזקה מאוד לבחור ב- Xbox…
ראוי להגיד: עדיין לא בטוח במאה אחוז שפרטי כרטיסי האשראי זלגו החוצה. סוני טוענים שהפרטים ב- DB שלהם נשמרו מוצפנים. עדיין לא בטוח שהאחראים לסיפור הזה הצליחו לפרוץ את ההצפנה.
מה שהכי מוזר לי בכל הסיפור הזה זה הקטע עם הסיסמאות של חשבונות ה- PSN. פשוט בלתי אפשרי שחברה כמו סוני, שאני מניח שיש בה לפחות מפתח אחד שהוא לא אידיוט גמור, לא תשמור סיסמאות ב- hash. אולי יש לזה קשר לעובדה שהמפתח הפרטי שלהם פורסם ע"י geohot? כי אחרת, אני לא רואה איך זה אפשרי (למרות שלכו תדעו, אולי הם פשוט השתמשו ב- hash מעפן ממש)
28 באפריל, 2011 בשעה 10:44
לגבי כרטיסי האשראי: אם הפרטים לא זלגו החוצה, מי בדיוק ניסה לקנות דברים בכרטיס של אח של שיימוס יאנג? (הלינק שצירפתי)
לגבי הסיסמאות: לא אמור להיות שום קשר בין hash למפתחות פרטיים. וגם אם זה היה hash מעפן, אמור להיות מאוד קשה לשחזר את המחרוזת המקורית, שלא לדבר על לשחזר 80 מיליון מחרוזות מקוריות.
ובכל מקרה, אם אכן הייתה איזושהי הגנה על הסיסמאות, הייתי מצפה מסוני לצאת בהכרזה "אל תדאגו, הסיסמאות שלכם בטוחות" בשניה שהם גילו את העניין הזה…
28 באפריל, 2011 בשעה 11:09
כן, ראיתי את מה שאח של שיימוס יאנג כתב. מקרה אחד מתוך עשרות מיליוני משתמשים עדיין לא אומר כלום.
28 באפריל, 2011 בשעה 12:09
אין שום ספק שאיזושהי השפעה בטווח המיידי תהיה לזה. בתור התחלה, עלויות תיקון התקלה ופיצוי המשתמשים וחברות הפיתוח לבדן עשויות להרוג לסוני את הרבעון מבחינת רווחים. יכול להיות שמישהו שהולך ממש היום לחנות ומתלבט בין סוני ואקס-בוקס ילך לצד של מיקרוסופט. זה לא חיובי בשום צורה.
אבל לטווח הארוך יותר, אני מחזיק בדעתי שזה ישכח ויעלם. לטעמי תופעת המוות המוקדם של קונסולות האקס-בקס מהדורות הראשונים, לדוגמה, הייתה לדעתי חמורה פי כמה מחשיפת פרטים אישיים של משתמשים (אני יודע, זו השוואה מוזרה. שני המצבים גרועים מאוד. אבל אני אישית חושב שקונסולה שמתקלקלת בלי סיבה ובלי פיצוי כספי הולם מעצבנת יותר). בסופו של דבר זה לא הפריע לאקס-בוקס להפוך ללהיט.
דליפה של פרטים אישיים משירותים מקוונים היא פשוט משהו שנצטרך להתרגל אליו, אם לא התרגלנו עד כה. אין פרטיות. כל המכשירים שאנחנו נעזרים בהם עשויים לחשוף אותנו בעת תקלה, ולעתים עושים זאת אפילו כשהם פועלים כהלכה. האסון הזה של סוני לא ישנה את תפיסת הקהל בנוגע לזה – שהסיכון בסופו של דבר מתקבל על הדעת לנוכח התמורה.
28 באפריל, 2011 בשעה 12:40
סוני יצאו חומוס, עם התנהלות מחרידה בזמן משבר שיש לקוות שתחזור אליה כמו בומרנג. לא ברור איך חברה יכולה לחשוב שזה הגיוני לחכות שבוע שלם מרגע בו גונבים משרתיה פרטים של עשרות מליוני משתמשים לבין הרגע בו היא מספרת לאותם לקוחות שהמידע שלהם נגנב. גם התירוץ המטופש שלהם, לפיו הם לא ידעו על פריצת הנתונים עד שלשום, מגוחך: לא לאתר גניבה של מסד הנתונים במשך שבוע זה אפילו יותר גרוע מלאתר ולא לספר.
עם זאת, יש גם להמנע מדיסאינפורמציה: עדיין לא בטוח שכרטיסי האשראי (שכן נשמרו בצורה מוצפנת) נגנבו, ודיווח של משתמשים אחדים מתוך מליונים הוא לא הוכחה לשום דבר – חוץ מלכך שלאותם בודדים נגנב כרטיס האשראי (ויש מספיק מקומות אחרים בהם מספר הכרטיס יכול ליפול לידיים של אנשים לא נחמדים). אני משוכנע שאם היה נסיון המוני לגנוב ממספר גדול של כרטיסים היינו שומעים על זה מחברות האשראי העולמיות.
כרגע רוב הערכות המומחים משערים שהמידע שנגנב ישמש עבריינים לשליחת נסיונות פישינג לכתובות המייל שנקצרו בפריצה. נסיונות פישינג מפולחים כאלה, שמתבססים על הידע שהמשתמשים הנ"ל קונים משחקים ומשתמשים ב-PSN, זה עניין לא נעים בכלל, אבל עם הסברה נכונה וקצת זהירות מצד הלקוחות זה גם לא סוף העולם.
אני מסכים לגמרי עם אילן: זה יפגע בסוני בטווח הקצר, אבל בסופו של דבר כולם ישכחו מזה. עוד שבוע-שבועיים הרשת תעלה מחדש, הפעם עם אבטחה כמו שצריך. סוני וודאי תצ'פר את כל הלקוחות שלה עם איזה משחק חינם או פתיחה של ה-PSN+ לכלל הלקוחות למשל תקופה מסויימת. יעברו כמה שבועות נוספים, וכולם ישכחו שזה אי פעם קרה. מישהו זוכר שלפני מספר חודשים נגנבו כרטיסי אשראי מ-Zavvi (או איך שלא מאייתים את השם שלהם)? מישהו הפסיק לקנות משם משחקים בעקבות כך? ומישהו התרגש מכך שאותו דבר קרה גם לחנות הקנדית videogameplus (הכרטיס האישי שלי נקצר משם ונעשה נסיון לגנוב ממנו כסף, והיי, אני עדיין קונה משם משחקים)? לא.
כמו שאילן אמר – צרכנים דיגיטליים מודעים לכך שזה חלק מכללי המשחק. הם גם יודעים שיש לחברות האשראי ביטוח ומחלקות הונאה, ושהסיכוי שבאמת יגנב מהם כסף (וב"יגנב" אני מתכוון ל"ילקח ללא דרך להחזיר אותו". אם מישהו מושך מהחשבון כסף שמוחזר על ידי חברת האשראי ברגע שאתם מדווחים לה על הגניבה לא נחשב בעיניי), אפילו אם מספר האשראי שלהם באמת יגיע לגנבים, הוא לא גדול במיוחד.
28 באפריל, 2011 בשעה 13:08
לא יודע, אבל גם היה לי PS3, הייתי חושב פעמיים אם להשאיר שם את פרטי הכרטיס או לקנות דרך ספק שלישי (אגב, Maximus Cards לעולם לא שומרים את כרטיס האשראי וכל פעם צריך להקליד אותו מחדש..).
אני יודע של – PSN הישראלי חייבים לקנות דרך באג, ועל זה נאמר פתגם שקשור להפרשות גוף שאני אחסוך מכם…
28 באפריל, 2011 בשעה 13:54
לצערי אני מסכים עם אילן, אבל נחכה ונראה. (לא בגלל שאני מצטער להסכים עם אילן, אני מצטער שהוא צודק).
בכל מקרה, דווקא יכול להיות שהעובדה שהמפתח הפרטי של סוני פורסם איפשר לפתוח את ההצפנה מנתוני המשתמשים. זה שימוש טפשי של סוני באותו מפתח לדברים שונים מאוד, אבל זה בממלכת האפשרי.
28 באפריל, 2011 בשעה 15:06
Burn baby burn
סוני, בעיני, זרקה לפח את כל המוניטין שאי פעם היה לה.
פריצות יכולות לקרות לכל החברות בעולם, אבל גניבה של פרטים אישיים שלא היו מאובטחים בדבר הכי בסיסי – HASH – זה פיגור. מגיע לסוני להדפק, לא ללקוחות.
28 באפריל, 2011 בשעה 20:21
לפי טקראנצ' , הם לא שמרו את 3 הספרות שמיועדות לאבטחה (CSV)…
http://techcrunch.com/2011/04/27/sony-shares-more-details-on-playstation-network-breach
כתוב גם שכרטיסי האשראי כן היו מוצפנים, או שהם התכוונו להצפנה מסוג אחר? (MD5 וכאלו)?
11 בנובמבר, 2011 בשעה 13:36
[…] את הסיפור שהיה לפני חצי שנה עם הפריצה המטורפת של ה-PSN? זה קרה שוב, […]
27 בדצמבר, 2011 בשעה 20:35
[…] היה לנו את הפיאסקו של סוני עם ה-PSN; את יוביסופט, שבאופן סדרתי דופקת את שחקני ה-PC; את […]