Управление уполномоченного по информации Великобритании (ICO, Information Commissioner’s Office) оштрафовало европейское подразделение компании Sony Computer Entertainment за нарушение закона о защите данных.
Речь идет о последствиях хакерской атаки на базу данных пользователей сети Sony PlayStation Network (PSN), которая привела к компрометации миллионов учетных записей геймеров по всему миру в 2011 году. Данный инцидент стал одним из самых масштабных хищений личных данных в истории. Утечка пользовательских данных, по мнению ведомства, произошла из-за халатного отношения сотрудников компании к безопасности.
Размер штрафа составил 250 тыс. фунтов (приблизительно 400 тыс. долларов США). По словам представителей ICO, данное расследование оказалось самым крупным за историю ведомства, сообщает SecurityLab.
Британские следователи, которые выясняли подробности инцидента, очень невысоко оценили уровень защиты личных данных пользователей PlayStation Network. Они утверждают, что происшествия можно было избежать, если бы сотрудники компании вовремя установили обновления безопасности на свое программное обеспечение.
Согласно заявлению заместителя комиссара и главы отдела защиты информации Дэвида Смита, уровень защиты данных Sony находится на крайне низком уровне, и компании следовало бы уделять этому больше внимания.
Напомним, ряд принадлежащих корпорации Sony интернет-сервисов и сайтов был выведен из строя в результате атаки, осуществленной, скорее всего, хакерской группой Anonymous, в апреле 2011 года. Во время этой атаки пользователи сильнее всего пострадали от перебоев в работе PlayStation Network и работающего только в США сервиса потокового музыкального вещания Qriocity.
Японская компания признала, что злоумышленники получили доступ не только к аккаунтам разработчиков, но и к аккаунтам пользователей - к их именам, адресам, паролям и, возможно, номерам кредитных карт. Однако, утешали тогда представители японской корпорации, все данные кредитных карт, хранящиеся на серверах Sony PlayStation Network, были зашифрованы.
О самой атаке и украденных данных Sony сообщила только через шесть дней после случившегося. Компания утверждает, что это время ей потребовалось, чтобы установить, какие именно данные и в каком объеме были украдены. Несвоевременное информирование корпорацией клиентов о произошедшем инциденте стало поводом для нескольких судебных исков и слушаний в Конгрессе США.
Клиентская база PlayStation Network составляет порядка 77 млн человек, что позволяет предположить, что эта утечка персональной информации - одна из крупнейших в истории. По мнению основателя и председателя компании Ponemon Institute, занимающейся исследованиями в области информационной безопасности, Ларри Понемона, на разбор каждого конкретного случая Sony потратила от 20 до 320 долларов. Если умножить эту сумму на число пользователей PlayStation Network, получится от 1,5 до 24,5 млрд долларов.
По мнению некоторых экспертов по безопасности, нападение на PlayStation Network и другие сервисы Sony было организовано не с целью наживы, а исключительно ради забавы, о чем, например, свидетельствуют появившиеся в Сети логи чатов, в которых хакеры обсуждают систему защиты Sony и откровенно смеются над ней.
По другим данным, атака была связана с тяжбой японского гиганта против Джорджа Хотца (более известного под ником geohot) - одного из первых взломщиков PS3 и смартфона iPhone. Sony, в частности, обвиняла Хотца, который сейчас трудится в Facebook, в распространении инструментов для "джейлбрейка" консоли, который позволяет запускать на PS3 пиратские приложения.
Осенью 2012 года суд в США не разрешил пострадавшим от взлома Sony PlayStation Network подать коллективный иск, постановив, что "идеальной защиты не существует". Sony, по мнению судьи, ни в чем не виновата, поскольку единственное обязательство компании перед пользователями игровой сети гласило, что она обязуется принимать "разумные меры" по защите личных данных своих клиентов.