索尼泄密事件始末

　　很多黑客集团站了出来，表示要保护互联网上的“言论自由和分享自由”。

　　对于索尼游戏迷“Daiminda”来说，刚刚过去的4月是黑暗的。4月21日13时开始，索尼PSN开始“当机”，他无法登录游戏，也无法获得PSN上的好友名单与信息，在线游戏、购买商品等一切行为皆不能进行。此时，美国、日本、欧洲等地的大量用户也遇到同样的问题，PSN陷入了大规模瘫痪，全球范围内的用户均受到了影响。

　　近几年，游戏机平台Play Station在全球飞速发展，得到很多用户的喜爱。为了方便游戏玩家，2006年，索尼电脑娱乐为Play Station玩家提供了免费网络――Play Station Network(简称PSN)，并迅速迎来了上千万的注册用户。在强大的网络支持下，游戏玩家可以免费下载试玩版游戏、宣传影像或输入自己的信用卡账号和密码，付费下载更新包及游戏等多项内容。

　　对于玩家不能登录PSN游戏，索尼官方给出的解释是：“我们已经开始着手寻找问题并进行恢复工作，可能需要您等待一段时间。”在索尼电脑娱乐公司的美国分公司网站上，则发布了“我们已经确定了PSN的一些机能瘫痪，如果获得新的信息会尽快发布出来”的消息。

　　就在全球上千万PSN用户苦苦等待的时候，一周后，一条比不能登录游戏还要糟糕的消息传来，这些用户的个人信息可能被泄露。

　　索尼公司4月26日在官方博客上表示，“我们通知您，您的信用卡号（不包括安全码）和截止日期可能已经被掌握，请保持高度警惕。我们正在调查事件细节，相信一些非法人士已经掌握您提供的如下信息：姓名，住址（城市、州和邮编）、国家、电子邮件、生日。还可能包括你的个人资料、采购历史和账单地址（城市、州和邮编），以及您的Play Station网络/Qriocity密码安全答案。”

　　5月1日，索尼公开承认7700多万用户信息被窃，甚至包括1000多万用户的信用卡账号，涉及57个国家和地区。5月3日，索尼又宣布，该公司的另外一款游戏“Qriocity”服务也有近2500万用户被黑客窃取了姓名、地址和密码。

　　这两次泄密事件使得索尼数据遭窃案受影响的用户可能超过1亿人，成为迄今规模最大的用户数据外泄案。而对于索尼在一周后才公布事件真相的做法，美国媒体进行了指责。

　　泄密事件起源于对黑客的强硬措施

　　有观点认为，索尼泄密事件完全起源于它的强硬措施，甚至不惜花费重金将黑客送上法庭。

　　今年2月份，索尼起诉著名的黑客乔治・霍兹(GeorgeHotz)，他以成功“越狱”苹果iPhone而著名。索尼指控霍兹违反了美国《数字千年版权法案》(DMCA)，对PS3游戏机进行非法“越狱”破解尝试。

　　2007年，时年17岁的霍兹成功独立破解了iPhone。他的破解方法需要对软/硬件进行修改。后来他把这款破解后的手机放在eBay上，不过因为恶意商业捣乱，拍卖价最后被炒到了1亿美元以上，最终没能在eBay上卖出，但他还是用这款破解的手机交换到了一部日产350Z跑车和3部未破解的iPhone手机。

　　2010年年底，霍兹破解了索尼的PS3的系统，并且在Youtube上发表了如何破解的步骤，之后便被索尼盯上了，索尼令其立即停止发布破解方法，并通过法院起诉，责令霍兹上交电脑，搜查他的硬盘，这一举动激怒了包括霍兹在内的许多黑客。

　　美国媒体报道，为了和索尼打官司，霍兹已经倾家荡产，只能通过网上募捐的方式来支持诉讼。2011年4月，为了躲避追捕，逃亡南美的霍兹终于与索尼达成和解。但是，和解协议被媒体曝光，协议中霍兹保证不再针对索尼主机从事破解活动，后者则答应就此罢手不再追究。

　　虽然看上去不分胜负，但实际上双方对这个结果都不满意，索尼的打击破解活动并未取得计划的成效，而霍兹则生气地表示从此再不买索尼的任何产品。

　　这件曾轰动一时的案件过后，很多黑客集团站了出来，表示要代表包括霍兹在内的所有黑客与索尼周旋到底，保护互联网上的“言论自由和分享自由”。

　　内地玩家遭遇“赔偿难”

　　索尼（中国）有限公司公关部在接受《北京科技报》采访时指出，由于索尼公司位于美国加利福尼亚州圣地亚哥公司数据中心遭到不法网络攻击，索尼网络娱乐公司关闭了PSN和Qriocity的网络服务，在过去几天内，数家专业信息安全公司为索尼进行了全面的系统检查，公司还采取了许多新的安全措施，以更好地保护个人信息。

　　索尼强调，有了这些措施作保障，索尼电脑娱乐公司和索尼网络娱乐公司将开始为期一个星期的分阶段、分区域的恢复服务工作。目前，索尼已经委托美国联邦调查局(FBI)就网络非法入侵一事进行调查。

　　“我们现在与几家外部安全公司进行紧密合作，执行严密的安全措施以进一步对未经授权的活动进行检测，并对用户的个人信息进行更加严密的保护。公司新设首席信息安全官一职，直接向索尼首席信息官长谷岛真时报告，以加强现有信息安全人员的力量，他们将监管PSN和Qriocity服务中涉及到信息安全的方方面面，并负责帮助确保用户的资料安全。已实施到位的新的安全措施包括增加自动软件监控，增强数据保护和数据加密水平、增强对软件入侵、未授权访问及异常活动模式的识别能力和增加新防火墙。”索尼（中国）有限公司公关部有关人士说。

　　同时，索尼公司正在进行彻底周密的调查，与法律部门合作以追查并起诉非法入侵者。索尼公司执行副总裁平井一夫说道：“这种攻击网络的犯罪行为不仅对我们的用户，而且对整个行业都产生了极为严重的危害。这些不法攻击行为使广泛的电子安全问题更为突出。我们谨慎地保护用户的信息安全，承诺用户保护他们的个人数据安全。除此之外，在确认网络安全升级的基础上，我们的团队正在夜以继日地工作，以期使服务尽快恢复正常。”

　　但是，对于用户信用卡信息可能被泄露的可能，索尼予以否认。“目前没有证据显示用户信用卡信息被泄露。”索尼（中国）有限公司公关部有关人士说。同时，索尼公司承诺将协助用户保护个人数据，具体实施方案将在近期在各个地区分别公布。

　　部分中国玩家已受损失

　　对于索尼此次的赔偿措施是否涉及中国大陆用户，索尼（中国）有限公司公关部相关人士告诉《北京科技报》，由于受到影响的PSN和Qriocity网络娱乐服务业务未在中国大陆地区开展，我们相信，此次事件对中国大陆地区消费者的影响，即使不能完全排除，也将是极为微小的。

　　小吕对于索尼不会考虑赔偿中国大陆用户的做法表示理解，因为中国大陆大部分是盗版玩家，不能联网，此次事件也没有影响自己玩游戏。但是，小吕认为，对于中国大陆极少数正版用户来说显然有失公平。

　　小吕告诉记者，由于PS3在2006年就已经诞生，历经3年才破解成功。3年之间，等不及的玩家早已经玩上正版了。玩正版肯定要使用PSN，特别是诸如实况足球这种风靡中国的足球游戏，玩家们是非常期望对战的。另外，由于PS3是进入香港和台湾地区，PSN也有相应的服务器，所以，中国大陆地区的玩家登录PSN不会那么陌生。小吕认为，这次PSN的信用卡泄密事件，对于中国这部分正版玩家肯定造成了损失。其实在前两个月，小吕曾经有过转成正版玩家的想法。一是，常玩的游戏不多，花点钱买正版盘无所谓，更重要的是，现在很多游戏的DLC（游戏的后续下载资料片）只能购买，需要进入PSN。

　　网络时代的监管漏洞

　　网络安全立法和监管都不足

　　此次索尼公司客户信息泄露事件确实令很多用户心生疑虑。北京邮电大学娄耀雄教授告诉《北京科技报》，索尼事件中个人信息丢失，对用户造成很大损失。首先，用户信息涉及个人隐私问题，如姓名、住址、账户信息等都应具有保密性，一旦泄露，会对公民安定生活带来影响，造成精神损失。尤其是用户因账户信息被盗所蒙受财产损失同样不可估量，信用卡信息被盗用可能对用户长期信用带来负面影响。账户信息丢失后，用户如果能及时通知银行，可能有后续补救措施来挽回损失，但这种补救措施又会使银行产生成本，是将财产损失转嫁给银行。

　　除了客户个人层面上的损失，索尼用户信息外泄还使大众开始质疑互联网游戏的安全性。娄耀雄告诉记者，这次事件不仅使索尼大受冲击，还会使人们对整个互联网的认知大受影响。

　　娄耀雄认为，索尼未能有效地管理用户个人信息，侵犯了隐私权和合同权利。民法保护公民隐私，公民有个人信息不被外泄的权利。同时，PSN的用户和索尼公司有一个网上约定，或点击合同，只要条款不与法律强制性规定抵触，点击之后合同就生效。在此事件中，索尼未能保护公民的隐私，也没有依照合同切实管理好用户个人信息，在隐私权和合同权利保障两方面都存在漏洞。

　　泄密事件发生后，索尼没有第一时间告知用户，这种有失诚信的行为会给整个互联网业界信誉带来影响。从民法角度来说，企业给客户带来损害应及时告知客户，这样用户可以及时补救，如通知银行、封掉账户等。如果由于企业没有及时通知用户，造成犯罪分子复制了用户银行卡并把钱取走等情况，会令损失扩大。

　　然而在事件发生后，索尼推迟了一周的时间才对外公布消息。“索尼公司当时可能是基于侥幸心理，希望能在短期内找到解决方法，最后发现局势无法挽回才不得不告知用户。不得不说索尼处理此问题有失‘体面’。”娄耀雄说。

　　虽然像索尼公司这样的大规模信息外泄尚属首次，但是一直以来网络安全都是一个严重的问题。目前，网络安全方面的立法和监管都有不足。娄耀雄表示，企业应该被划分为两种类型，一种是提供普通商业服务的，如小商户等；另一种是涉及大范围用户的商业机构，如电信公司、邮政公司等，此次事件的索尼公司属于此类，这类型企业所面对的已经不是简单的一两位顾客，而是涉及一个群体，甚至一个阶层，因此它们承担着公众利益的管理，其责任与义务比普通商家大得多。

　　制裁网络犯罪取证困难

　　全世界目前有关于网络信息安全法规，但是存在取证和身份追踪难的问题。很多网络犯罪，都是跨国界的，比如黑客攻击的是中国，但是人在美国。他通过多次“翻墙”，也就是说，黑客往往会先通过一台在中国的机器做代理，然后跳转到欧洲再设一个代理，然后再跳到韩国，这样层层变换之后，网络上只会留下最后一台代理服务器的地址，这样就大大增加了搜查的困难。在这样的情况下，虽然理论上可以找到他，但是搜查的过程会很困难。

　　还有一个就是数字证据还存在法律认定的问题。数字证据的保全是个难题，因为很多数据现在是可以被篡改的。被起诉的人可以质疑司法机关的数字证据是否有效，质疑这个数字信息已经不是原始数据了。

　　从立法角度来看，涉及大范围用户的商业机构应该由更为严格的标准或者专门法律来规范。就索尼公司延迟对外公布信息泄露这一问题而言，世界各国普遍缺乏相应的法律规定。

　　在我国，有针对政府的《政府信息公开条例》，规定涉及公民、法人切身利益的，或者需要社会公众广泛知晓或参与的政府信息应当公开。然而，该条例仅约束政府信息，即行政机关在履行职责过程中制作或者获取的信息，公开的义务主体是政府，并未约束企业。对于像索尼这样向大规模用户提供服务的企业，也应该有针对企业的“信息公开法”，规定企业及时公开影响公众利益的重大事件。

　　计算机犯罪侦查存在职责不明

　　从监管角度来看，政府应对提供公众服务的企业设定特殊安全标准。从某种程度上说，此类企业肩负着社会稳定的职能，在监管方面应比普通企业更严格。针对索尼这样的大型企业，政府应采取更严格的管理措施，如委派专业人员经常性抽查，规定信息数据如何备份等。

　　他介绍，在保护网络安全方面，我国刑法对非法侵入、破坏计算机信息系统以及制造、传播计算机病毒等破坏计算机安全的行为已经定罪。例如，曾经风行一时的“熊猫烧香”软件的制作者和主要传播者就因“破坏计算机信息系统罪”而入狱。现在，世界各国刑法都有计算机犯罪的相关规定，此次窃取索尼用户信息的黑客一旦被抓，会面临刑事处罚。

　　在我国，从警察体制来看，计算机犯罪的侦查方面存在职责不明确的问题：一方面，对犯罪的侦查主要由刑侦部门来进行，但是刑侦部门缺少必要的计算机专业技术；另一方面，网络监察部门在很多方面又不具备行政办案权。因此，我国应整合警方工作机制，设立真正的网络警察，，以更好地打击网络犯罪。 

“索尼没有采取数据加密导致数据遭窃受影响的用户可能超过1亿人，使之成为迄今规模最大的用户数据外泄案。用户的信用卡、银行密码等大量信息或随之外泄。”