I efteråret 2005 blev det afsløret at musik-cd'er fra Sony BMG installerer et skjult rootkit på computeren, som ikke kan fjernes igen. Rootkits er en teknologi, der normalt bruges til at sprede skadelig kode og virus, og Sony måtte da også hurtigt stoppe produktionen af cd'er med den omstridte kopisikring.
Men skaden var allerede sket og Sony BMG blev sagsøgt i flere amerikanske stater. Anklagen lyder på, at selskabet har installeret skjult spyware på kundernes computere og dermed gjort dem sårbare overfor virusangreb og identitets-tyveri.
Nu ser det ud til, at Sony er nået til enighed med statsadvokaten Tom Papageorge i Californien om et forlig i sagen, som betyder at Sony skal betale 750.000 dollar i sagsomkostninger og 175 dollar eller næsten 1.000 kroner til hver kunde, som kan sandsynliggøre, at rootkit'et har forvoldt skade på computeren.
Sony BMG har tidligere tilbudt 7,50 dollar og et gratis album efter frit valg som erstatning på sin hjemmeside, men nu ser det altså ud til, at kunderne kan se frem til en betydelig højere erstatning.
Ifølge statsadvokaten Tom Papageorge har Sony BMG solgt 12,6 millioner cd'er med det omstridte rootkit alene i USA, heraf 930.000 i Californien.
Sikkerhedseksperter har kritiseret, at Sonys rootkit XCP åbner flere bagdøre i systemet, der kunne misbruges af hackere. De fleste antivirus-produkter genkender og fjerner XCP på linje med andre skadelige programmer.