A csapból is az folyik, hogy a Sony amerikai filmes részlegének a rendszerét feltörték. Nem újdonság ez, és több mint 1 hónapja állandó téma. Mégsem látjuk azt, hogy a Sony a terroristázás helyett mondjuk beszélne a tanulságokról. Halljuk sok helyen nem engedik már az e-mailek használatát, igyekeznek offline működni. Ez viszont sok helyen nem valósítható meg. Arról nem hallunk, mit tanultak az esetből. Mint arról sem, hogy mi lesz a sorsa az alkalmazottaknak, partnereknek akik szintén kárt szenvedtek. Pedig ez utóbbi kapcsán könnyű azt mondani: A Sony felelőtlensége kellett ahhoz, hogy őket kár érje.
A történetünk kicsit korábban kezdődik. Mondjuk közel 15 esztendeje. 2000 Augusztusában a Sony Pictures Entertainment alelnöke a bevételi források megvédése kapcsán kemény üzenetet fogalmazott meg. Bizonyos forgalmat az ISPnél, a kábeltévé szolgáltatónál, és a felhasználók gépén is ki akart szűrni. Olyan forgalmat, amit maga a felhasználó kezdeményezne, amire neki igénye van. Agresszív fellépést ígért. Ami sok szempontból tisztességtelen eljárást is jelenthetett. A kritikát megkapta, de egy idő után lecsendesedett a botrány. Ez vezetett el oda, hogy 2005-ben a Sony zenekiadója a Sony BMG egy érdekes DRM kísérletbe kezdett.
A Sony XCP rootkit kapcsán a botrány első része az volt, hogy a felhasználó tudta nélkül menekült, hogy rootkitként működött. De még fontosabb probléma volt, hogy az adott rootkit nem csak önmagát rejtette el, hanem szinte bármit. Csak megfelelő elérési utat kellett adni. Azaz bármely kezdő fel tudta használni ezt a rootkitet a saját malware megoldásának elrejtésére. A Sony vezetése pedig eleinte úgy állt a kérdéshez, hogy az átlag vásárló azt sem tudja mi az a rootkit, és miért jelent ez rá veszélyt.
A Sony úgy nyúlt bele más rendszerébe, hogy a biztonságot alapvetően veszélyeztető, igen durva hibákat követtek el, és erre arrogánsan reagáltak. Sokan gondolták úgy, megfelelően elnevezett keylogger észrevétlen maradhat sokak gépén. Majd persze a keylogger el tud küldeni sokféle adatot, például hitelkártyák adatait. A lopott adatokkal sokféleképpen éltek vissza. Volt aki magának vásárolt valamit... De volt olyan is, aki pornó oldalakra fizetett elő, majd az előfizetéseket megosztotta. Vagy éppen máshova feltöltötte a beszerzett filmeket, képeket.
Az ügy jogi következményei viszonylag drágák voltak a Sony számára. Az ügy 2008-ban zárult le, ekkor lehetett megismerni az érintett lemezek teljes listáját. Az adott rootkit készítésekor mások jogvédett megoldásait törvénytelenül használta a kiadó. A körülbelül 3 évig tartó botrány után egy viszonylag eseménytelen időszak következett, ami alatt csak lényegesen kisebb ügyek kerültek elő. Majd körülbelül 3 év múlva eljött egy újabb fontos esemény.
2011-ben feltörték a PlayStation Network és a Sony Online Entertainment servereit. A Sony pedig viszonylag későn kezdte el a felhasználókat értesíteni, akiknek így többlet káruk keletkezhetett. Ismét sikerült sokaknál kihúzni a gyufát. De a Sony ismét megígérte, hogy tanult az esetből és javít a biztonságon. És nem feltétlenül csak az egyes részlegek szintjén, mert pont az volt a probléma, hogy az előző eset lezárása után körülbelül 3 évvel jött az újabb gond.
És ismét várni kellett a megoldásra. Akad akik azt mondják, azóta sem kaptak segítséget az ellopott adatok kapcsán. Akad akiknek eszébe jut az is, hogy sok dologért úgy akartak fizetni az eset után, hogy ne kerüljön a Sony-hoz hitelkártya adat. A support megígérte, majd sok területen kiderült mégis kell a kártya. Sokan jelezték, jeleztük, hogy ez nem jó. A biztonság nem volt elég fontos ok a változáshoz. De idővel felmerült, a feltöltőkártyás rendszer terjedése, sok alternatív fizetési megoldás több fogyasztót jelent. Biztonságosabb lett hát a rendszer.
Ahogy teltek, múltak az évek, kezdhettük volna azt gondolni a Sony tanult a hibáiból, immár szinte minden részleg betartja az alapvető szabályokat. Majd 2014-ben az ügy elején is látott részleget feltörik. És kiderül, hogy a jelszavak titkosítatlan, védtelen Excel táblában tartották. Hogy Észak Korea tette volna? Lehet. Mint az is, hogy 12 éves orosz vagy kínai hülyegyerekek. Mert egyelőre a vélt indíték az ok amiből kiindulnak. De az biztos, ha a Sony valóban tartja magát ahhoz, hogy tanul az ügyből és minden Sony részlegnél odafigyelnek... Akkor ma lényegesen kisebb ügy lenne a Sony feltöréséből. Ha egyáltalán lenne ügy.
És mindenki eldöntheti maga, ha a Sony nem a más részlegeknél lévő biztonságos megoldás felhasználásáról beszél, hanem sok dolog offline megy, akkor ők maguk mennyire bíznak benne, hogy tanultak a múltból, és mondjuk a Playstation Network ügyfelek adatai biztonságban vannak.
Mindenki eldöntheti maga, hogy ha a Sony a saját rendszereit ennyire védi meg, akkor vajon a fogyasztóknak eladott eszközök (konzol, telefon, tablet, okostévé, stb.) kapcsán mennyire tesznek meg minden elvárhatót a biztonságért. Ha a Sony sokadszor égeti meg magát, és ez a kétség felmerül, akkor ki az aki rá akarná bízni a saját biztonságát. Vagy mondjuk a megajándékozandó szerettei nevében is kockáztat-e. Vagy inkább választ egy kicsit más márkát.
De tény az, ha a Sony egy része felől felmerül, hogy a feketék kárára viccelődnek, akkor sok afroamerikai nem csak azokat a Sony termékeket fogja kerülni. Ebből pedig máris profitál például az XBOX One és a Microsoft. És a Sony bármely tetszőleges versenytársa, bármely tetszőleges piacon. Ez é a filmes részleg ismert problémái pedig nagyon drágák a Sonynak, de erősen kétlem, hogy a cég ezúttal valóban tanult volna belőle. Hogy tanult-e belőle? Nem tudom. De pár év múlva megtudjuk.
A bejegyzés trackback címe:
Kommentek:
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a Felhasználási feltételekben és az adatvédelmi tájékoztatóban.