Mamy do czynienia z zupełnie nową sytuacją. Hakerzy postanowili zrobić sobie safari, którego celem jest upokorzenie kolejnych największych firm produkujących gry, a trofeami wrażliwe dane osobowe użytkowników, korzystających z rozbudowanych wirtualnych systemów bezpieczeństwa. Systemy te, co pokazała cała seria ataków, są albo niewystarczające i dziurawe, albo de facto wcale ich nie ma i dla wprawnych cyber terrorystów nie są one żadną zaporą.
Tak właśnie stało się w przypadku ataku na Sony i jej sieć Playstation Network. I choć inne firmy również bardzo ucierpiały w konfrontacji z cyber przestępcami, nie ulega wątpliwości, że to właśnie Sony najbardziej na hakerskich atakach straciło.
Skala
Samo PSN najgorsze ma już za sobą. Po ponad trzech miesiącach sieć powróciła do stanu sprzed awarii. PSN zostało wyłączone w środę 20 kwietnia z powodu gigantycznej kradzieży danych z serwerów, która miała miejsce 16 i 17 kwietnia. Serwis miał być czynny niedługo po wyłączeniu, ale szybko stało się jasne, że gracze będą musieli poczekać dłużej niż to było planowane. Wśród medialnego chaosu trudno było o jednoznaczne informacje, co jeszcze bardziej potęgowało niepewność i złość ze strony poszkodowanych. Niestety nadal nie wiadomo, co się dokładnie stało i dzieje się obecnie z danymi użytkowników PSN, choć przedstawiciele Sony zapewniali, że zasadniczo wszystko jest już pod kontrolą.
Hakerzy ukradli dane około 77 milionów kont użytkowników Playstation Network. Konta te były połączone z około 37 milionami Playstation 3 i 16 milionami Playstation Portable i, co chyba najbardziej druzgocące, z 10 milionami numerów kart kredytowo-płatniczych.
Fot. Wikipedia
Wiadomo już, że hakerzy oprócz sieci PSN zaatakowali także serwery Sony Online Entertainment, skąd wykradli dane 24,6 miliona kont w tym: imiona, nazwiska, daty urodzenia, informacje o płci, adresy zamieszkania, adresy e-mail, numery telefonów, nazwy kont SOE oraz hasła dostępu do nich. W ręce cyberprzestępców mogły też wpaść nieaktualne dane z 2007 roku z około 12 700 numerami kart kredytowych i płatniczych z terminami ważności i poleceniami wpłaty u blisko 10 700 osób.
Sony potwierdziło, że współpracuje z FBI w celu złapania autorów hakerskiego ataku, a także, że nie wierzy w to, że informacje o kartach kredytowych graczy zostały wykradzione. Niemniej apeluje do klientów, by czujnie obserwowali swoje wyciągi bankowe. Problem ewentualnej kradzieży aktywnych numerów kart kredytowych dotyczy około 10 z 77 milionów użytkowników Playstation Network.
Dodatkowo w celu przeprowadzeniu niezależnego dochodzenia Sony wynajęło takie firmy jak Protiviti, Guidance Software i Data Forte, a w sprawie zabezpieczeń Sony nawiązało współpracę z firmą Symantec znaną z produkcji oprogramowań antywirusowych Norton. Ochrona systemu ma być teraz wzmocniona poprzez monitorowanie i odpowiednio wczesne wykrywanie zagrożeń. W czasie wyłączenia PSN po sieci krążyły różne zatrważające informacje dotyczące braku odpowiednich zabezpieczeń Sony. Jedna z nich głosiła, że PSN funkcjonowało na starej wersji podatnego na ataki serwera Apache, nawet bez żadnego Firewalla.
Straty wynikłe z ataku hakerów na serwery Sony szacunkowo wyceniło na około 14 miliardów jenów, czyli w przeliczeniu ponad 170 milionów dolarów. Firma przyznała, że nie jest znany szacunkowy koszt kradzieży informacji osobistych programu ochrony klientów. Jak podaje firma, program ten obejmuje określoną kwotę na ubezpieczenia mające być pokryciem ewentualnych strat wynikłych z kradzieży tożsamości. Na razie jednak nie ma informacji o takich nadużyciach. Nie licząc samej kradzieży rzecz jasna.
W koszty ataku wliczono także m.in. program „Welcome back”, obsługę klienta czy poprawę bezpieczeństwa. Sony musi się także liczyć z wytoczonymi przez rozgoryczonych użytkowników procesami sądowymi. Jedno jest pewne. Raz utracone zaufanie bardzo trudno odbudować.
„Welcome back”
I choć Sony, po tym jak wyłączyło PSN, blisko tydzień zwlekało z upublicznieniem informacji, że atak w ogóle miał miejsce, to widać wyraźnie, że japońska firma bardzo chce wynagrodzić graczom stres i niedogodności związane z utratą ważnych danych.
Sony chce naprawić relacje z graczami pakietem „Welcome back”, w którego skład wchodzi darmowa 30 dniowa subskrypcja Playstation Plus. Ci, którzy są już jej użytkownikami otrzymają dodatkowe 60 dni darmowego korzystania z usługi. Z kolei subskrybenci niedostępnego w Polsce Music Unlimited Premium otrzymają dodatkowe 30 dni darmowej zabawy.
Oprócz tego gracze w rekompensacie za wszelkie niedogodności mogą ściągnąć dwie wybrane przez siebie gry z pięciu dostępnych na PS3 i dwie z czterech dostępnych na PSP.
Dwie gry, z których można wybierać to w wypadku PS3: „Dead Nation”, „inFAMOUS”, „LittleBigPlanet”, „Super Stardust HD”, „Wipeout HD + Fury”, a w przypadku połączonego konta PSP: „Little BigPlanet” (PSP), „ModNation Racers”, „Pursuit Force”, „Killzone Liberation”. Dodatkowo Sony zapewnia użytkownikom Playstation Network 100 wirtualnych przedmiotów w Playstation Home.
Dobić Sony
Cyberterroryści wyraźnie uwzięli się na japońskiego giganta. Równo miesiąc po atakach na PSN 16 i 17 maja zaatakowane zostało 200 kont użytkowników japońskiego dostawcy mobilnego internetu So-Net należącego do Sony. W wyniku ataku 128 klientów straciło punkty o łącznej wartości 1,225 USD. Hakerzy włamali się także do 90 kont e-mailowych użytkowników.
Jakby tego było mało, 3 czerwca grupa hakerska LulzSec pochwaliła się atakiem na Sony – konkretnie na usługę SonyPictures.com, z której wykradła dane osobowe ponad miliona użytkowników, 3,5 miliona plików muzycznych i dane administratorów serwera. Hakerzy po raz kolejny skompromitowali japońską firmę i jej zapewnienia o bezpieczeństwie, udowadniając, że nie dość, że ukradzione dane nie były zaszyfrowane, to jeszcze włamując się na serwery użyli jednego z najłatwiejszych sposobów czyli tzw. „zastrzyku” SQL polegającego na wykorzystaniu luk w zabezpieczeniach aplikacji internetowych.
Jednak Ci, którzy myśleli, że hakerzy darują sobie po atakach na Sony musieli się srodze rozczarować. Kolejne ataki tylko potwierdziły, że wszyscy w branży gier mogą być zagrożeni. Uporządkujmy zatem fakty, co w ostatnim czasie ze względu na wspomniany informacyjny chaos mogło być chwilami dość trudne.
Square Enix: 15 maja Square Enix potwierdziło, że zaatakowane zostały serwery Eidos Montreal i gry „Deus Ex: Human Revolution”. Hakerzy wykradli ok. dwadzieścia pięć tysięcy adresów e-mail subskrybentów biuletynu firmy i ponad trzysta pięćdziesiąt dokumentów CV kandydatów starających się o pracę w Square Enix. Niedługo po ataku serwery zostały wyłączone, a firma rozpoczęła śledztwo i wdrażanie nowych zabezpieczeń przy zapewnianiu, że bezpieczeństwo swoich serwisów traktuje bardzo poważnie. Adresy mailowe podobno nie są powiązane z osobistymi danymi użytkowników, a na stronach serwisów nie przechowywane są żadne informacje o kartach kredytowych, z czego ma wynikać, że atak nie był aż tak poważny.
Nintendo: 5 czerwca Nintendo poinformowało, że również padło ofiarą cyberataku. Hakerzy uderzyli w serwery japońskiej firmy, ale nie udało im się wykraść cennych danych osobowych. Włamywacze zdobyli jedynie plik konfiguracyjny serwera. Nintendo częściowo wyłączyło swoją stronę internetową i zapewniło, że zaatakowane strony nie zawierają takich danych jak numery kart kredytowych czy adresy, więc nie ma ryzyka ich wycieku. Do ataku na swojej stronie Twittera bezczelnie przyznała się grupa LulzSec.
Codemasters: 10 czerwca Codemasters poinformowało, że zostało zaatakowane 3 czerwca. P początkowych zapewnieniach, że wykradziono tylko dane administracyjne firma przyznała, że hakerzy atakując strony Codemasters.com oraz serwisy z związane z grą DiRT 3 a także sklep internetowy Codemasters Estero weszli w posiadanie danych tysięcy użytkowników, w tym ich: imion, nazwisk, loginów, haseł dostępu, adresów zamieszkania, e-mail i IP, numerów telefonów, dat urodzenia, gametagów Xbox Live, i biografii. W związku z tym, że Codemasters korzysta z zewnętrznych firm do przetwarzania płatności, numery kart kredytowych i inne dane o płatnościach miały nie wyciec.
Epic Games: 11 czerwca Epic Games poinformował użytkowników drogą mailową, że hakerzy zaatakowali strony i fora firmy, na skutek czego mogli zdobyć adresy e-mail i zaszyfrowane hasła. Hasła w postaci zwykłego tekstu nie zostały ujawnione, choć jest możliwość do ich dotarcia poprzez atak na hasła zaszyfrowane. Nie wyciekły także żadne dane finansowe, jak choćby te dotyczące kart kredytowych. Skala włamania nie była tak duża jak w przypadku Codemasters, a firma zrestartowała hasła dostępu i drogą mailową poprosiła o ustalenie nowych.
Bethesda: Tu również straty nie były wielkie. Skradziono hasła, loginy i adresy e-mail użytkowników forum firmy. Nie skradziono danych dotyczących płatności. Do włamania przyznało się LulzSec, zamieszczając przed atakiem dwa chamskie wpisy na swoim koncie na Twitterze: „Chcieliśmy zatrzymać dla siebie tę małą skrzynię ze skarbem, jednak ugryziono nas w dłonie. Pomódlcie się, użytkownicy Brinka >:]” oraz „Big lulz nadejdzie w niedalekiej przyszłości. Pora pokazać tym dziwkom, jak to się robi”.
Logo LulzSec
Wygląda na to, że jedną z ulubionych metod komunikacji ze światem (i swoimi fanami) hakerów z LulzSec i Anonymous stały się kampanie viralowe w pełni wykorzystujące możliwości nowych mediów. Bioware: 14 czerwca hakerzy zaatakowali kanadyjskie studio Bioware – konkretnie system forów społecznościowych BioWare i EA, w wyniku czego wykradziono dane blisko osiemnastu tysięcy użytkowników, w szczególności szkodząc na forum gry Neverwinter Nights. W ręce hakerów mogły wpaść takie dane jak loginy, hasła, adresy e-mail i daty urodzin. Wszyscy korzystający z forów i sieciowych usług EA powinni zmienić hasła dostępu. Firma twierdzi, że numery kart kredytowych zostały bezpieczne. BioWare szybko poinformowała o całym zajściu i zapewniła, że sytuacja została opanowana.
Jakby tego było mało, tego samego dnia LulzSec zaatakowało nie tylko strony producentów gier bądź fora, ale również same gry. Były to: Minecraft, EVE Online i League of Legends. Hakerzy uniemożliwili graczom logowanie się na serwery obsługujące gry. Dostało się także serwisowi The Escapist, który bardzo negatywnie odnosił się do działań hakerskiej grupy (strona została zdjęta przez hakerów 14 czerwca).
Sega: 16 czerwca doszło do kolejnego ataku na branżę gier, tym razem padło na Segę. Hakerzy włamali się do należącego do wszystkich serwisów firmy systemu Sega Pass, w wyniku czego w ręce cyberterrorystów wpadły adresy mailowe, daty urodzeń oraz zaszyfrowane hasła dostępu. W porównaniu z innymi atakami szkody są stosunkowo niewielkie. Jak na razie nikt do ataku na Segę się nie przyznał. LulzSec stwierdzili, że kochają produkowaną przez Segę konsolę Dreamcast i chcą pomóc w firmie w odnalezieniu sprawców.
Nie tylko gracze
Warto odnotować, że choć producentów i graczy dotykają ogromne nieprzyjemności, to niebezpieczeństwa cyberterroryzmu nie dotyczą wyłącznie świata wirtualnej rozrywki. To również ogromny problem innych firm, organizacji, osób prywatnych, najróżniejszych systemów danych a nawet rządów państw. Świetnym przykładem jest tu właśnie Anonymous. Grupa opisująca się jako walcząca o wolność słowa, posiadająca podobnie jak LulzSec swoją stronę na Twitterze, brutalnie atakuje nie tylko Sony, ale także firmy Visa, Mastercard czy Paypal. (Anonimowi twierdzą, że atakując firmy i rządy prowadzi kampanię w obronie Juliena Assange’a)
Miały już także miejsce pierwsze aresztowania związane z atakami. 10 czerwca w piątek hiszpańska policja aresztowała trójkę hakerów z grupy Anonymous mających według hiszpańskich służb należeć do liderów grupy.
Flaga Anonimowych. Fot. Wikipedia
Hakerów zatrzymano w Alicante, Almerii i Barcelonie. Zostali oni oskarżeni o atak na Playstation Network, dwa główne hiszpańskie banki, włoską firmę energetyczna Enel a także rządowe strony internetowe: Egiptu, Algierii, Libii, Iranu, Chile, Kolumbii i Nowej Zelandii. W ich domach znaleziono dowody świadczące o nielegalnej działalności, a także, co jeszcze ważniejsze, prywatną korespondencję z innymi anonimowymi. Aresztowanym grozi od 2 do 3 lat więzienia. Policja nie ujawniła jak wpadła na trop hakerów.
W poniedziałek, 13 czerwca w 11 prowincjach Turcji zatrzymano grupę 32 tureckich hakerów należących do Anonymous i podejrzanych o przeprowadzenie serii cyberataków nie tylko na branżę gier, ale i rząd Turcji. W ostatnich dniach lipca miały też miejsce zatrzymania na terenie Stanów Zjednoczonych gdzie aresztowano 16 podejrzanych o ataki na Sony i inne korporacje.
Sony jako pierwsze rzuciło podejrzenie, że za atakiem stoi Anonymous. W oficjalnym liście do amerykańskiego kongresu, który zażądał wyjaśnień w sprawie afery PSN tuż po kwietniowych atakach, jeden z szefów Sony Kaz Hirai napisał, że jeden z plików znalezionych po włamaniu podpisany był jako „Anonymous”. I choć sama grupa wydała „oficjalne” stanowisko, w którym zaprzecza, że miała z atakiem cokolwiek wspólnego, to sprawa jest o tyle problematyczna, że Anonymous nie ma czegoś takiego jak przedstawiciele czy oficjalne władze. Zatem możliwe, że zarówno ktoś się pod Anonymous podszywa, jak i to, że ktoś z tej grupy brał jednak udział w akcji. Podobnie możliwe jest, że po atakach na Sony część anonimowych postanowiła się od grupy odłączyć i zacząć działać na własną rękę. Inna, można powiedzieć „konkurencyjna” grupa hakerów – LulzSec, podobnie jak Anonymous, przechwala się w Internecie swoimi osiągnięciami, wprowadzając do całej sytuacji element niewątpliwie chorej rywalizacji. Jedno nie ulega wątpliwości – atak na PSN to największa kradzież danych osobowych w historii i ogromny cios w samą branżę gier. Późniejsze ataki choć mniejsze w swej skali udowodniły z kolei, że nie tylko Sony ma ogromny problem z zabezpieczeniami baz danych.
Mamy do czynienia z końcem pewnej epoki. Wydaje się jasne, że nieważne jak bardzo jako gracze, a szerzej – użytkownicy różnorakich internetowych serwisów, jesteśmy zapewniani o bezpieczeństwie umieszczanych na serwerach danych, to możemy takie historie włożyć między bajki. Już chyba lepiej na wszelki wypadek od razu sprzedać swoje dane na czarnym rynku. Będziemy przynajmniej mieli już to z głowy…
Adam Szymczyk
