Efter gårsdagens chokmelding om det gigantiske datatyveri hos PlayStation Network (PSN) og Qriocity er der rigtig mange spørgsmål som Sony mangler at besvare. Allerede i sidste uge slukkede Sony for PlayStation Network (PSN), men først en uge senere kom meldingen fra den japanske elektronikgigant om, at en hacker har fået fat i data om 75 millioner brugere.
Hvordan kunne det ske, hvem er hackeren og hvilke oplysninger er stjålet? Det er nogle af de spørgsmål, som Sony stadig mangler at besvare. Nu har Sony leveret svar på nogle af spørgsmålene i denne Q&A.
Her fortæller Sony blandt andet at man arbejder på ny system-software som vil kræve at alle PSN-brugere skal ændre deres kodeord når tjenesten bliver genoprettet, men der er stadig ingen melding om hvornår det vil ske.
Det vigtigste spørgsmål er nok, hvorvidt hackeren faktisk har fået fat i kreditkort-oplysninger fra PSN-brugerne. Den officielle udmelding fra Sony er stadig, at man ikke kan udelukke at kortdata er blevet stjålet.
”Selvom alle kreditkortinformationer i vores systemer er krypterede og der ikke er nogen beviser for, at kortdata er blevet taget, kan vi ikke udelukke denne mulighed,” skriver Sony.
Samtidig understreger Sony, at man kun har gemt kortnummer og udløbsdato, men ikke den trecifrede sikkerhedskode fra kortets bagside (også kaldet CVC eller CSC). Denne oplysning er ikke lagret i Sony's systemer og kan således heller ikke være blevet kompromitteret.
Det kan begrænse hackerens mulighed for at misbruge de stjålne kortdata. Men databasen kan alligevel vise sig at være en guldmine for hackeren. Den indeholder nemlig også brugernavne og adgangskoder, og mange brugere har for vane at benytte de samme adgangskoder til forskellige tjenester.
Så PSN-koden kan sikkert i mange tilfælde også bruges til at overtage f.eks. en persons Facebook-profil.
Sony fortæller også at man samarbejder med myndighederne og et eksternt sikkerhedsfirma om at opklare sagen, men vil ikke afsløre hvem det er.
Men Sony indrømmer, at personoplysningerne ikke var beskyttet mod kryptering.
”Hele kreditkort-tabellen var krypteret og vi har ikke beviser for at kreditkort-data er stjålet. Tabellen med personlige oplysninger, som er et separat datasæt, var ikke krypteret, men var selvfølgelig bag et meget sofistikeret sikkerheds-system som blev penetreret i angrebet,” hedder det.
Sony gentager også sin anbefaling til brugerne om at ændre kodeord, holde øje med sine kontoudtog og være forsigtig hvis man modtager opfordringer om at aflevere personlige oplysninger.
