Minulý týden vody počítačové a síťové bezpečnosti rozvířila kauza Sony, přesněji nabourání její sítě. Problémy s danou herní sítí se objevily již dříve, docházelo k výpadkům a potížím běžného provozu, uživatelé PlayStation Network a Qriocity se však oficiálního vysvětlení posledních obtíží dočkali s téměř týdenním odstupem. Na blogu společnosti Sony byla publikována zpráva potvrzující rozsáhlý hackerský útok. Dne 26.dubna se tak uživatelé dozvěděli o nabourání registrovaných účtů, jak jsme vás informovali v aktuální zprávičce Sony unikla citlivá data o uživatelích služeb PlayStation Network a Qriocity:
Zatím neznámý útočník naboural do sítě Sony a získal osobní informace o uživatelích zmíněné dvojice služeb. Určitě jde o jméno, adresu bydliště, e-mailovou adresu a přihlašovací údaje včetně hesla. Už to je problém, pokud někteří uživatelé používají jedno heslo pro přístup k více službám. Sony ale nevylučuje, že útočník mohl získat i údaje o platebních kartách, které zákazníci používání například k nákupu her nebo hudby.
Ani v době psaní tohoto článku, tedy s opět skoro týdenním odstupem, není jasné, zda z nabourané databáze unikly také informace o platebních kartách. Společnost Sony nicméně uvedla, že údaje o platebních kartách jsou uloženy v databázi šifrovaně a prozatím není důkaz o jejich odcizení. Naproti tomu ale prozradila ukládání dalších osobních informací v nešifrované podobě, do této kategorie patří například jméno, e-mailová adresa, poštovní adresa, datum narození a přihlašovací údaje k herní síti.
U některé z menších služeb by riziko zneužití údajů nemuselo být natolik kritické, nicméně zde se jedná o více než sedmdesát milionů uživatelských účtů, tedy pořádnou porci osobních informací. Hlavní podezření ze spáchání útoku padlo na skupinu Anonymous, se kterou se Sony svářila již dříve, ta však obvinění odmítá. Po pachatelích se nadále pátrá a Sony si najala externí firmu pro analýzu útoku, ověření zabezpečení a navržení odpovídajících vylepšení.
Anonymous se na svém webu oficiálním prohlášením distancovali od útoku
Nevěřte e-mailům
I když to tak vzhledem k dění v posledním týdnu může vypadat, nejedná se v případě útoků na herní síť společnosti Sony o první větší útoky. Již dříve docházelo k různým více či méně úspěšným pokusům o prolomení ochran, ať už v rámci spuštění „neautorizovaného softwaru“ (jinými slovy většinou načerno vypálených her) nebo konkrétně cíleným útokům. Jejich základem se stávala podpora spuštění dalšího operačního systému, v originále známá jako Other OS – konzole PlayStation různých verzí pak mohly provozovat například linuxové distribuce a sloužit jako zdroj pro distribuované výpočty. Později byla posledně zmíněná podpora deaktivována, čímž si společnost Sony získala celou řadu nepřátel.
Ať za stávajícím prolomením a krádeží databáze registrovaných uživatelů stojí kterákoliv větší či menší skupina útočníků, je trnem v oku desítek milionů uživatelů zip na ústech veřejného prohlášení Sony. Prakticky týdenní zpoždění předcházející přiznání útoku mohlo hackerům (pro notorické slovíčkaře samozřejmě spíše crackerům) poskytnout dostatečný prostor pro další zneužití, například formou sociálního inženýrství, kdy do e-mailové schránky dorazí požadavek na reset hesla či reaktivaci účtu. Kdyby běžní uživatelé již v tomto mezidobí věděli o nabourání sítě, mohli být mnohem ostražitější.
Uživatelé se tak mohou nevlastní vinou dostat do potíží a podobně jako v jiných případech je zapotřebí průběžného varování a doplňujícího upozornění. Z českých finančních institucí například Raiffeisenbank vydala následující informace a doporučení:
Banka situaci kolem úniku dat monitoruje a v případě přímého ohrožení našich karet přijme účinná preventivní opatření. Doporučujeme všem klientů, kteří na uvedených stránkách zadali údaje o své platební kartě, aby si pravidelně kontrolovali pohyby na svém účtu a v případě jakýchkoliv podezřelých karetních transakcí svou kartu okamžitě blokovali a kontaktovali banku.
Přímo Sony na svém blogu varuje před podvodnými e-maily, telefonáty, nebo dokonce klasickou „papírovou poštou“, jež by mohly zneužívat ukradené informace a pokusit se vyloudit peníze z důvěřivých uživatelů. Riziko je v tomto případě o to větší, že napadená herní síť pokrývá i velké množství běžných uživatelů, kteří jsou vždy na takováto lákadla náchylnější a důvěřivější. Rada je tedy i zde univerzální: Sony klienty nebude prostřednictvím e-mailu kontaktovat a nebude požadovat žádný reset účtu nebo odkazovat na jakékoliv stránky.
Vývoj kauzy a aktuální informace můžete sledovat na blogu Sony PlayStation
Kamsi zatoulané identity
Ať už útočníci dokážou využít i čísla kreditních karet či nikoliv, poskytuje jim stávající ukradená databáze s nešifrovanými údaji slušnou porci zneužitelných informací. Více než sedmdesát milionů adres, jmen, e-mailů a přihlašovacích údajů může posloužit při dalších útocích, cíleném zasílání spamu apod. Problém je zde také v dané kombinaci registračního e-mailu a přihlašovacího hesla k herní síti, jelikož řada uživatelů používá jedno heslo k více službám. Údaje je tak možné spárovat a pokusit se proniknout do dalších služeb jednotlivých obětí. Samozřejmě pokud tak již podvodníci neučinili během několika dnů, které následovaly po odcizení databáze a oficiálním oznámení ze strany Sony.
O technickém provedení útoku prozatím nejsou dostupné žádné podrobné informace, a tak je otázkou, zda společnost Sony mohla o problému reálně informovat dříve a přinést korektní informace. Asi by nebylo příliš moudré, kdyby hned po detekci útoku vyšla oficiální poplašná zpráva, a přitom ještě nebyly známé podrobnosti – navíc docházelo k výpadkům, a tak se chvíli spekulovalo o klasických technických obtížích.
Osobně si dokážu představit spikleneckou situaci, kdy by jiné společnosti při podobných útocích v řádově menším rozsahu celou kauzu třeba i úspěšně ututlaly (při úniku pár stovek registrací). Být však v pozici jednoho z desítek milionů registrovaných uživatelů, byl bych nyní také naštván. Údaje o jednotlivých osobách se mohou povalovat kdekoliv a posloužit čemukoliv. Bude zajímavé sledovat, jak se celá kauza bude nadále vyvíjet, které detaily postupně vyjdou najevo. Tentokrát se to uživatelé snad už dozvědí včas.
