הפריצה לרשת הפלייסטיישן: סכנה ל-120 אלף גיימרים ישראלים
מתקפת ההאקרים על רשת המשחקים של הקונסולה מעוררת חשש בקרב שחקנים מכל העולם, בהם גם ישראלים רבים. "מדובר בפעולה של אנרכיסטים טרוריסטים", אומר איתן דרורי, נציג החברה בארץ. "בסוני לא יודעים מי אחראי, מה מהות הפלישה ואיזה מידע נגנב"
זה לא היה שבוע קל עבור 77 מיליון הגיימרים החברים בפלייסטיישן נטוורק (או PSN, בקיצור המקובל), רשת הגיימרים של סוני. מיום רביעי שעבר הרשת מושבתת, ועשרות מיליוני החברים בה לא יכולים לשחק דרכה עם משתמשים אחרים, לרכוש תכנים, ואפילו לא להפעיל משחקים מסוימים הדורשים אימות מקוון. אבל מאז אתמול אפשר לשער שהם מאוד מתגעגעים לשבוע שבו PSN היתה רק מושבתת, ולא יותר.
ביום שלישי בלילה הודתה סוני שמתקפת האקרים שכוונה נגד PSN הובילה למה שמסתמן כאחת מגניבות המידע הגדולות בהיסטוריה של הרשת: גורמים עוינים הצליחו לחדור אל מאגרי המידע המאובטחים - אך כנראה לא מאובטחים מספיק - של PSN, ולזכות בגישה לפרטיהם של 77 מיליון המשתמשים: שמם, כתובת האימייל שלהם, כתובת המגורים, תאריך הלידה, שם המשתמש, הסיסמה, אולי אפילו פרטי כרטיס האשראי (שלדברי סוני מוצפנים). הכל נפל כנראה בידי ההאקרים האלמונים, וסוני עצמה הודיעה כי היא לא יודעת מה בדיוק נגנב.
הפריצה נוגעת גם לישראלים רבים: לפי הערכת ישפאר, הנציגה הרשמית של סוני בישראל, יש בארץ קרוב ל-100 אלף קונסולות פלייסטיישן 3 (יבוא מקביל רב מונע הצגת מספר מדויק), ומספר דומה של קונסולות PSP ניידות. החל מפברואר זמינה חנות PSN גם לישראלים, ואולם מכיוון שמשתמשים מקומיים רבים נרשמו בחנויות של ארה"ב או של אירופה, אין אפשרות לדעת כמה במדויק ישראלים רשומים ב-PSN בסך הכל.
עם זאת, בישפאר מעריכים ש-90% מרוכשי פלייסטיישן 3 ובין 20% ל-30% מרוכשי PSP נרשמו לרשת. המשמעות: בין המידע הגנוב נמצאים גם פרטיהם האישיים של כ-120 אלף ישראלים. "מדובר בפעולה של טרוריסטים אנרכיסטים", אמר ל"כלכליסט" איתן דרורי, מנהל חטיבת המולטימדיה בישפאר.
אבטחה לא מספקת
פלייסטיישן נטוורק היא אחת מרשתות הגיימרים הגדולות בעולם. סוני ייעדה לה מקום מרכזי באסטרטגיית המולטימדיה שלה, ובפרט בקרב הטאבלטים נגד אייפד של אפל. PSN הושקה בנובמבר 2006, במקביל להשקת קונסולת פלייסטיישן 3. ייעודה העיקרי הוא לאפשר למשתמש לשחק במשחק מרובה משתתפים עם גיימרים מכל העולם. בנוסף, משמשת הרשת גם כחנות מדיה ומאפשרת רכישת משחקים, סדרות, סרטים וגישה לשירותים דוגמת נטפליקס.
לפני כשנה נפתחה הגישה לרכישת תוכני וידיאו ב-PSN גם מנגני בלו-ריי, טלוויזיות BRAVIA ומחשבי VAIO חדשים של סוני. רק השבוע חשפה החברה שני טאבלטים המיועדים להרצת משחקים, שתומכים במשחקי פלייסטיישן ובגישה ל-PSN.
בסוני, אפשר לשער, שואפים להפוך את PSN למקבילה ל-iTunes. חנות המדיה המצליחה של אפל זמינה על מגוון פלטפורמות - מחשבי PC ומק, אייפונים, אייפד, אייפוד טאץ', סטרימר אפל TV - ומהווה מקור הכנסה משמעותי עבור החברה. הפופולריות שממנה כבר נהנית PSN היתה עתידה לשמש גורם משמעותי בקידום מכשירי המולטימדיה השונים של החברה, אך הפריצה החמורה וגניבת הפרטים האישיים עלולים לפגוע משמעותית בתוכנית הזאת.
את מומחי האבטחה השונים הפרצה לא תפסה בהפתעה. "רשתות מהסוג הזה הן יעד מטורף להתקפות", אומר דיוויד ממן, סמנכ"ל טכנולוגיות בחברת אבטחת המידע GreenSQL. "היה פה יעד מאוד מדויק של בסיס נתונים שבו נמצא כל המידע. כשאתה מוריד תוכנה או רוכש שירות, וזה יכול להיות בכל רשת גיימרים או שירות, היישום שדרכו אתה רוכש - האתר או הפלייסטיישן - חייב לדבר עם בסיס הנתונים. בסיסי נתונים חייבים להיות זמינים להמון מקורות, והדבר הופך אותם למאוד פגיעים".
"סוני היו מאוד שקופים"
עם זאת, לדברי ממן מדובר בשוק שהמודעות לצורכי האבטחה שלו אינה גבוהה דייה: "זה שוק ממש בתולי באבטחת המידע. שוק האנטי־וירוס מגלגל מיליארדי דולרים בשנה, אבל תחום אבטחת בסיסי הנתונים מגלגל לכל היותר מאות מיליוני דולרים - ובסופו של דבר כל המידע יושב בתוך בסיס נתונים. בסיסי הנתונים של PSN לא היו מאובטחים במידה מספקת: אם המידע היה מוצפן, סוני היתה מודיעה בענק שהמידע אמנם נגנב, אבל אין סכנה כי הוא מוצפן".
מנגד, ממן משבח את הפתיחות והשקיפות הרבה שמגלה סוני. "הדהים אותי שסוני הודתה שנגנב מידע. נדירות החברות בקליבר הזה שמודות על פריצה כל כך מוצלחת. יש פריצות כאלו כל שבוע, אבל אף אחד לא בא ואומר 'גנבו לנו את המידע, עכשיו תחליפו סיסמאות, תעקבו אחרי חיובים, תעלו את המודעות'", הוא אומר.
לטענת דרורי, השקיפות כה גדולה עד שהמידע שמעבירה סוני לשותפותיה ונציגותיה בעולם זהה למידע שנמסר לתקשורת. "זה אותו מידע", הוא אמר. "אני אולי מקבל אותו שעתיים-שלוש קודם, אבל מה שאני מקבל זה מה שהעיתונות מקבלת. מלכתחילה סוני היו מאוד שקופים, בדקו ועדכנו. אין הוכחה שמישהו לקח את המידע, אבל מכיוון שמישהו יכול היה לעשות את זה הם מעדיפים לומר הכל מאשר להסתיר".
ואכן, סוני ראויה לשבח על שקיפותה. מתחילת הפרשה דאגה החברה למסור עדכונים בבלוגים ובמדיות החברתיות על מצב הרשת ופעילותה. ההודעה המסעירה על גניבת המידע האפשרית הופצה במהירות בערוצים השונים, עם התאמות אזוריות של המהלכים שיש לנקוט ולצד עמוד שאלות ותשובות מפורט ונהיר.
בסוני גם מבהירים שלא התמהמהו בפרסום העובדה שנגנבו פרטים אישיים, למרות שהפריצה עצמה זוהתה כבר לפני יותר משבוע. "יש הבדל בין המועד שבו זיהינו את החדירה למועד שבו גילינו שמידע אישי נחשף", נמסר בבלוג הרשמי של פלייסטיישן. "למדנו על הפריצה ב-19 באפריל, ומיד סגרנו את השירות. הבאנו מומחים מבחוץ על מנת שיעזרו לנו להבין איך בוצעה הפריצה ומה טבע והיקף התקרית. נדרשה חקירה של כמה ימים, ורק ביום שלישי המומחה שלנו הבינו את היקף הפריצה. בשלב זה חלקנו את המידע עם הלקוחות שלנו".
פריצה אנונימית
בינתיים לא ברור מי עומד מאחורי הפריצה. "בסוני לא יודעים מי אחראי, לא יודעים מה מהות הפלישה ולא יודעים מה אופי המידע. רק יודעים להגיד שזיהו את הפריצה", אומר דרורי.
החשודים המיידיים הם חברי קבוצת אנונימוס: מדובר בברית רופפת של האקרים, שמתאמים את פעולותיהם בעיקר באתר 4Chan ופועלים במשותף נגד מטרות "אידאולוגיות", כדבריהם. בשבועות האחרונים ניהלה אנונימוס מערכה נגד סוני, שכללה בעיקר מתקפות מניעת שירות והטרדה של עובדי סוני ובני משפחותיהם. המניע למתקפה זו הוא תביעה שהגישה סוני נגד ההאקר-סלב ג'ורג' הוץ (המכונה GeoHot), שהצליח לפצח את הגנות הפלייסטיישן 3 ולאפשר הרצת משחקים פרוצים עליה. לפני כשבועיים הסתיימה התביעה בפשרה, שפרטיה לא פורסמו.
ואולם, אנונימוס הכחישו כל קשר לפריצה ל-PSN, וגם להערכת ממן הם אינם מעורבים במקרה זה. "כל רשת גיימרים וכל ספק שמחזיק פרטי תשלום הם יעד אינסופי להתקפות", הוא הסביר. "כבר שנים יש ניסיונות רבים, חלקם מוצלחים וחלקם פחות, שמופנים לרשתות השונות. לדעתי 99% שלאנונימוס אין קשר. אני בטוח שיש לסוני מאות אם לא אלפי ניסיונות פריצה ביום כבר שנים רבות, ובטוח גם שהחברה לא יודעת אם הצליחו בעבר לפרוץ, כי פעמים רבות אפילו לא מודעים לכך".
הסכנות למשתמשים שנפגעו עלולות להיות גבוהות הרבה יותר מגניבת פרטי כרטיס אשראי וכמה חיובים משונים. "ה-FBI הגדיר את גניבת הזהויות כבעיה גדולה יותר מסמים, והמאגר שנפרץ הוא מאגר מושלם לגניבת זהויות", מתריע ממן. "יש את כל המידע - שם, כתובת, תאריך לידה - כל הפרטים שדרושים כדי ליצור גניבת זהות.
"בעוד שכרטיס אשראי תמיד אפשר לבטל, וחברת האשראי מזכה לרוב על חיובים לא מאושרים, עם גניבת זהות הרבה יותר קשה להתמודד ונגד זה אין מה לעשות. צריך רק יותר מודעות: לשים לב אם אתה מקבל דו"ח תנועה חשוד או נפתח חשבון בנק על שמך. צריך להיות יותר מודע ורגיש לדברים האלו".
בשלב זה, לא ברור מתי תחזור PSN לפעילות, או מה עלה בגורל המידע האישי של המשתמשים. אבל בדבר אחד אין ספק: סוני ספגה מכה תדמיתית קשה ותצטרך לעבוד קשה כדי לשקם את אמינותה, וכמובן לשדרג משמעותית את נוהלי אבטחת המידע.
אפשר לשער שבינתיים המתחרות הגדולות בתחום הקונסולות - מיקרוסופט ונינטנדו - רצות גם הן לשדרג את אבטחת מאגרי המידע שלהן, אבל גם מחייכות קצת בסתר. אחרי הכל, למשתמשים השונים יש עכשיו סיבה טובה מאוד לקנות אקסבוקס 360 או Wii במקום פלייסטיישן 3.