PSN-persconferentie: alle info
Om 07u00 onze tijd hield Sony in Japan een persconferentie omtrent het hele PSN-gebeuren. Er zijn verontschuldigingen aangeboden en er werd benadrukt dat er hard wordt gewerkt aan een verbeterde beveiliging van het systeem. Ook raakte bekend wanneer PSN weer online zou komen en welke compensatie Sony in petto heeft voor alle gebruikers.
Een specifieke dag werd niet gegeven, maar het PlayStation Network zou in de loop van komende week weer gedeeltelijk online komen. Het gaat dan om volgende features die weer beschikbaar zullen zijn:
- Herstel van online gameplay op PS3 en PSP. Dit houdt ook titels in die online verificatie nodig hebben en downloadable games
- Toegang tot Music Unlimited voor zij die al lid zijn van Qriocity
- Toegang tot account management en paswoord-reset
- Toegang tot gehuurde films die nog niet verlopen zijn, zowel op PS3, PSP als MediaGo
- PlayStation Home
- Friends List
- Chat mogelijkheden
De overige features, waaronder PlayStation Store, zouden in de loop van de maand weer online komen.
Tijdens de persconferentie legde Sony er sterk de nadruk op dat men grote inspanningen levert om de beveiliging van het systeem te optimaliseren. Genomen of nog te nemen maatregelen zijn:
- Automatische softwarechecks en configuratiemanagement om tegen nieuwe aanvallen te beschermen.
- Verhoogde niveaus van databescherming en -beveiliging.
- Verhoogde mogelijkheid om software-indringing te detecteren in het netwerk, maar ook onrechtmatige toegang en ongewone activiteit.
- Bijkomstige firewalls geïmplementeerd.
Sony is dankbaar voor het geduld dat velen hebben uitgeoefend en komt met een soort compensatie aanzetten. Elke PSN-gebruiker krijgt het "Welcome Back" pack, wat drie zaken inhoudt. Om te beginnen krijgt elke PSN-gebruiker één maand gratis PlayStation Plus. Wie reeds PlayStation Plus heeft, krijgt een extra maand gratis. Ook zou er nog een tweede compensatie komen, in de vorm van content. Vermoedelijk gaat het dan om een gratis game die je zal kunnen downloaden, maar wat deze game zou zijn, hangt af van regio per regio. Tot slot wordt ook Qriocity een maand gratis gemaakt in de regio's waar het beschikbaar is.
Op de persconferentie werden ook enkele cijfers aangehaald. Van de ongeveer 78 miljoen PSN-accounts, hadden minstens 10 miljoen credit card-info eraan gekoppeld. Hoewel er nog steeds geen aanwijzingen zijn dat ook deze gegevens zijn gestolen, raadt Sony aan waakzaam te zijn en te blijven. Voorts werd gemeld dat wereldwijd 37 miljoen PS3's en 16 miljoen PSP's verbonden zijn met PSN, al zijn dat geen exacte cijfers. Ook werd uit elkaar gezet welke regio hoeveel accounts huisvest. In België bijvoorbeeld zijn er 669 155 accounts.
(Klik voor grotere versie)
De persconferentie werd gehouden door Kaz Hirai, grote baas van Sony Computer Entertainment, wat op zijn minst duidelijk maakt hoe belangrijk Sony de zaak vindt. Enkele citaten:
"Deze criminele daad tegen ons netwerk heeft niet alleen een significante impact op onze klanten, maar ook op onze gehele industrie. Deze illegale aanvallen tonen duidelijk het wijdverspreide probleem aan met cyber security."
"We nemen de veiligheid van de informatie van onze klanten zeer ernstig en we engageren ons ertoe onze klanten te helpen bij het beschermen van hun persoonlijke data. Bijkomend heeft de organisatie de klok rond gewerkt om deze services weer online te brengen, en dit enkel nadat we konden verifiëren dat de levels van security over ons netwerk zijn verhoogd."
"Ons globale publiek van PlayStation Network- en Qriocity-gebruikers werd verstoord. Onderweg hebben we lessen geleerd over de gewaardeerde relatie met ons gebruikers, en in het verlengde hiervan zullen we een customer appreciation program lanceren om onze dank uit te drukken voor de loyaliteit tijdens de downtime van dit netwerk, terwijl we nog harder werken om hun vertrouwen in ons en onze services opnieuw te herstellen en herwinnen."
SOME PLAYSTATION®NETWORK AND QRIOCITY™ SERVICES TO BE AVAILABLE THIS WEEK
Phased Global Rollout of Services to Begin Regionally;
System Security Enhanced to Provide Greater Protection of Personal Information
Tokyo, May 1, 2011 – Sony Computer Entertainment (SCE) and Sony Network Entertainment International (SNEI, the company) announced they will shortly begin a phased restoration by region of PlayStation®Network and Qriocity™ services, beginning with gaming, music and video services to be turned on. The company also announced both a series of immediate steps to enhance security across the network and a new customer appreciation program to thank its customers for their patience and loyalty.
Following a criminal cyber-attack on the company’s data-center located in San Diego, California, U.S.A., SNEI quickly turned off the PlayStation Network and Qriocity services, engaged multiple expert information security firms over the course of several days and conducted an extensive audit of the system. Since then, the company has implemented a variety of new security measures to provide greater protection of personal information. SNEI and its third-party experts have conducted extensive tests to verify the security strength of the PlayStation Network and Qriocity services. With these measures in place, SCE and SNEI plan to start a phased rollout by region of the services shortly. The initial phase of the rollout will include, but is not limited to, the following:
-
Restoration of Online game-play across the PlayStation®3 (PS3) and PSP® (PlayStation®Portable) systems
-This includes titles requiring online verification and downloaded games - Access to Music Unlimited powered by Qriocity for PS3/PSP for existing subscribers
- Access to account management and password reset
- Access to download un-expired Movie Rentals on PS3, PSP and MediaGo
- PlayStation®Home
- Friends List
-
Chat Functionality
Working closely with several outside security firms, the company has implemented significant security measures to further detect unauthorized activity and provide consumers with greater protection of their personal information. The company is also creating the position of Chief Information Security Officer, directly reporting to Shinji Hasejima, Chief Information Officer of Sony Corporation, to add a new position of expertise in and accountability for customer data protection and supplement existing information security personnel. The new security measures implemented include, but are not limited to, the following:
- Added automated software monitoring and configuration management to help defend against new attacks
- Enhanced levels of data protection and encryption
- Enhanced ability to detect software intrusions within the network, unauthorized access and unusual activity patterns
-
Implementation of additional firewalls
The company also expedited an already planned move of the system to a new data center in a different location that has been under construction and development for several months. In addition, PS3 will have a forced system software update that will require all registered PlayStation Network users to change their account passwords before being able to sign into the service. As an added layer of security, that password can only be changed on the same PS3 in which that account was activated, or through validated email confirmation, a critical step to help further protect customer data.
The company is conducting a thorough and on-going investigation and working with law enforcement to track down and prosecute those responsible for the illegal intrusion.
“This criminal act against our network had a significant impact not only on our consumers, but our entire industry. These illegal attacks obviously highlight the widespread problem with cyber-security. We take the security of our consumers’ information very seriously and are committed to helping our consumers protect their personal data. In addition, the organization has worked around the clock to bring these services back online, and are doing so only after we had verified increased levels of security across our networks,” said Kazuo Hirai, Executive Deputy President, Sony Corporation. “Our global audience of PlayStation Network and Qriocity consumers was disrupted. We have learned lessons along the way about the valued relationship with our consumers, and to that end, we will be launching a customer appreciation program for registered consumers as a way of expressing our gratitude for their loyalty during this network downtime, as we work even harder to restore and regain their trust in us and our services.”
Complimentary Offering and “Welcome Back” Appreciation Program
While there is no evidence at this time that credit card data was taken, the company is committed to helping its customers protect their personal data and will provide a complimentary offering to assist users in enrolling in identity theft protection services and/or similar programs. The implementation will be at a local level and further details will be made available shortly in each region.
The company will also rollout the PlayStation Network and Qriocity “Welcome Back” program, to be offered worldwide, which will be tailored to specific markets to provide our consumers with a selection of service options and premium content as an expression of the company’s appreciation for their patience, support and continued loyalty.
Central components of the “Welcome Back” program will include:
- Each territory will be offering selected PlayStation entertainment content for free download. Specific details of this content will be announced in each region soon.
- All existing PlayStation Network customers will be provided with 30 days free membership in the PlayStation Plus premium service. Current members of PlayStation Plus will receive 30 days free service.
-
Music Unlimited powered by Qriocity subscribers (in countries where the service is available) will receive 30 days free service.
Additional “Welcome Back” entertainment and service offerings will be rolled out over the coming weeks as the company returns the PlayStation Network and Qriocity services to the quality standard users have grown to enjoy and strive to exceed those exceptions.
SNEI will continue to reinforce and verify security for transactions before resuming the PlayStation®Store and other Qriocity operations, scheduled for this month.
For more information about the PlayStation Network and Qriocity services intrusion and restoration, please visit http://blog.us.playstation.com. or http://blog.eu.playstation.com/
Het begon allemaal met een foutmelding op 22 april, waarbij mensen niet meer op PlayStation Network geraakten en er kort nadien een melding kwam dat er eventjes gewerkt werd aan het netwerk. Daarbij was er ook eerst een melding dat het om hack-gerelateerde problemen ging, maar die boodschap werd al snel offline gehaald. De geruchten gaan op dit moment de ronde dat het om een extra beveiliging gaat langs de kant van Sony of een hack.
Op 23 april kwam Patrick Seybold met een verklaring naar buiten, waarin voor het eerst werd toegegeven dat het om een externe indringing ging op het systeem. De boodschap is als volgt:
'Een externe indringing (lees: hack) heeft ons PlayStation Network en Qriocity-services aangetast. Om een grondig onderzoek te doen en om zeker t zijn dat we vlotte en veilige diensten kunnen aanbieden in de toekomst, zijn beide services op woensdag 20 april afgesloten. Kwaliteit leveren aan onze klanten en partners is onze grootste prioriteit. We doen alles wat we kunnen om het zo snel mogelijk op te lossen, en we willen jullie nogmaals bedanken voor jullie geduld. We zullen jullie blijven berichten over de toestand, van zodra we zelf bijkomende informatie hebben."
Gezien de problemen die de hackersgroep Anonymous had veroorzaakt een tijdje eerder, werd er al snel in deze richting gekeken, maar met een afbeelding liet Anonymous weten niks met de zaak te maken te hebben en dat het waarschijnlijk gewoon incompetentie was van de kant van Sony. Kort daarop liet Sony weten dat de werken iets langer zouden duren en dat het misschien zelfs 2 dagen zou duren voor PlayStation Network online zou komen.
Ook Microsoft laat zich horen omtrent de problemen. Men betreurt de problemen en vindt het erg dat gamers nu hun geliefde games niet kunnen spelen. Er wordt ook subtiel verwezen naar het eigen 'robuuste online netwerk' van Microsoft zelf.
Sony laat weten dat het hele systeem opnieuw wordt opgebouwd om de veiligheid te verbeteren. Men vraagt geduld.
Nieuwe geruchten gaan de ronde tegen de middag dat PSN developer accounts gehackt zijn en dat er ook servers aangevallen werden waarop persoonlijke informatie stond. Alles zou worden overgezet naar nieuwe servers om zo nieuwe dev accounts te kunnen aanmaken (waarmee hackers alle content van PSN zouden hebben kunnen leeg'kopen'). De bron zegt ook dat PSN tegen dinsdag wereldwijd terug in orde zou kunnen zijn.
De geruchten blijven maar gonzen en worden ook steeds luider. Steeds meer stemmen gaan op dat er kredietkaartgegevens van gebruikers ontvreemd zouden zijn en dat er nog tal van andere informatie van gemiddelde PSN-gebruikers in het bezit van hackers zouden zijn gekomen. Sony geeft ook de ontwikkelaars een specifieke boodschap:
"Nood-onderhoud voor PlayStation Network.
Momenteel is PSN niet bereikbaar omwille van een nood-onderhoud. Gelieve te wachten tot de problemen zijn opgelost.
Je kan niet inloggen zolang het onderhoud bezig is.
Onze excuses voor de problemen".
Ondertussen roeren ook ettelijke ontwikkelaars zich. Zo vindt de ene het jammer dat hierdoor er financiële gevolgen zijn, terwijl Sucker Punch het uitdelen van bètakeys stopzet en de Infamous 2-bèta zelf verlengt tot ergens nadat PSN terug is.
Hoewel de verschillende pagina's van Sony, zowel hun blogs als hun Facebook-pagina's als hun Twitters, overstelpt worden met vragen en verwensingen, zijn er ook die het op een iets ludiekere manier ten berde brengen.
Uiteindelijk brengt Sony aan het licht wat het probleem echt is door een uitgebreide reactie neer te pennen over gebeurtenissen tussen 17 en 19 april:
Geachte PlayStation Network/Qriocity klant:
We hebben onlangs ontdekt dat tussen 17 April en 19 April 2011, bepaalde informatie van gebruikersaccounts op het PlayStation Network en Qriocity diensten werd gecomprimeerd in verband met een externe indringing in ons systeem. Hierdoor hebben wij:
1) tijdelijk PlayStation Network en Qriocity services offline geplaatst
2) een buitenstaande en erkende security firma gevraagd om een volledig en compleet onderzoek te ondernemen naar wat er gebeurd is; en,
3) spoedig maatregelen genomen om de beveiliging van onze netwerkinfrastructuur te verbeteren en te versterken door onze systeem te heropbouwen om U te voorzien van verbeterde bescherming van uw persoonlijke gegevens.
Wij waarderen uw geduld, begrip en aardigheid terwijl wij aan het werk zijn om deze problemen zo snel en efficiënt mogelijk op te lossen.
Hoewel we nog steeds de details van het incident aan het onderzoeken zijn, verdenken wij dat een onbevoegd persoon in het bezit is gekomen van de volgende informatie die U aan ons had verstrekt: naam, adres (stad, provincie, postcode), land, e-mail adres, geboortedatum, PlayStation Network/Qriocity wachwoord en login, en gebruikersnaam/PSN online id. Het is ook mogelijk dat uw profiel data werd verkregen, inclusief aankoopsgeschiedenis en factuuradres (stad, provincie, postcode), en uw PlayStation Network/Qriocity wachtwoord beveiligingsvragen zijn ook mogelijk verkregen. Als U een sub-account hebt geauthoriseerd, kan dezelfde data met betrekking tot die account verkregen zijn. Hoewel er geen direct bewijs is dat creditcard gegevens verkregen zijn op dit moment, kunnen we de mogelijkheid niet uitsluiten.
Als U uw creditcard data hebt opgegeven via PlayStation Network of Qriocity, adviseren wij U voor de veiligheid dat het mogelijk is dat uw creditcard nummer (exclusief security code) en geldigheidsdatum zijn verkregen.
Voor uw veiligheid, raden wij U aan om bewust te zijn van email, telefoon en post scams die om uw persoonlijke of gevoelige informatie vragen. Sony zal U nooit via deze kanalen contacteren, inclusief e-mail, om uw creditcard nummer of andere identiteits informatie te vragen. Mocht U een bericht ontvangen die om persoonlijke informatie vraagt, kunt U erop vertrouwen dat deze persoon niet voor Sony werkt. Wanneer de PlayStation Network en Qriocity diensten volledig hersteld zijn, raden wij U ten strengste aan zo snel mogelijk in te loggen en om uw wachtwoord te veranderen. Verder, als U uw PlayStation Network of Qriocity gebruikersnaam of password voor andere service(s) gebruikt, raden wij U ook aan om die te veranderen.
Om uzelf te beschermen tegen mogelijke identiteitsdiefstal of andere financiële verliezen, raden wij U aan om waakzaam te blijven door uw rekening afschriften of gelijkaardige documenten te controleren.
Onze excuses voor het ongemak en wij danken U voor uw geduld terwijl wij ons onderzoek afronden. Onze teams werken rond de klok en services zullen zo snel mogelijk hersteld worden. Sony neemt bescherming van gegevens zeer serieus en zal zich blijven inspannen om ervoor te zorgen dat er aanvullende maatregelen worden genomen om persoonlijke gegevens te beschermen. Het leveren van kwaliteit en veilige entertainment diensten is onze hoogste prioriteit. Neem a.u.b. contact op nl.playstation.com/psnoutage mocht U nog verder vragen hebben.
Hoogachtend,
Sony Network Entertainment en Sony Computer Entertainment Teams
Sony zelf raadt aan om alle kredietkaartgegevens goed in de gaten te houden en zeker niet te reageren op vragen van emails van Sony omtrent gevoelige informatie. Ook telefoontjes moeten genegeerd worden op dit vlak. Zodra PSN terug actief is, kan je best je paswoord veranderen, net zoals andere diensten waarbij u met dezelfde login en hetzelfde paswoord werkt.
Voor zij die gewoon willen gamen, is er nog het volgende vermoeden van een expert in database-veiligheid: PSN zou deze week terug online kunnen zijn, al zal de aangepaste veiligheid er wel voor kunnen zorgen dat er patches vereist zijn om terug normaal gebruik te kunnen maken van PlayStation Network.
Ondertussen blijven ook de reacties niet uit. Sony laat zelf weten dat het even kwaad is als de gemiddelde consument omtrent deze aanval en dat het er alles aan zal doen om de daders te vatten. De Amerikaanse senator Blumenthal stelt zich echter de vraag waarom Sony zo lang getalmd heeft om deze cruciale informatie aan de consument mee te delen, zodat die zichzelf kon beschermen tegen mogelijke problemen.
Sony zelf heeft nogmaals gereageerd, met de uitleg waarom het pas zo laat alle informatie heeft vrijgegeven. Het betreft een combinatie van "de omvang nog niet weten" en "onderzoek door externe experts".
Ook het Verenigd Koninkrijk grijpt in. De dienst die ginds verantwoordelijk is voor de beveiliging en bescherming van persoonlijke gegevens zal immers Sony aan de tand gaan voelen omtrent de problemen die zijn opgedoken. Indien nodig zullen er ook verdere acties volgen.
Volgens een bron op Engadget zou Sony enorme updates plannen om het vertrouwen enigszins terug te winnen. Zo zou cross game voice chat en in-game video chat mogelijk worden zodra PlayStation Network terug online komt. Zou dit jullie overtuigen?
Sony Online Entertainment beseft dat niet online kunnen gaan nogal nefast is voor MMO's en belooft ook compensaties uit te delen zodra PSN terug online is. Verder stellen ze de gebruikers ook gerust, want bij hen is geen gevoelige informatie verspreid geraakt.
Het blijft nieuws regenen over de PSN-problemen en we blijven ze voor jullie opvolgen:
Een eerste rechtszaak is ingespannen tegen Sony en de beschuldiging is dat het bedrijf - volgens de aanklager - onvoldoende informatie heeft vrijgegeven en nalatig is geweest met de informatie die haar werd toevertrouwd.
Als er echter naar de voorwaarden gekeken wordt van PlayStation Network, zou dit Sony vrijwaren van enige schuld. Toch zal het eerder vernoemde ICO onderzoeken of Sony wel voldoende heeft gedaan om de gegevens te beveiligen. Ook wordt geopperd dat het moeilijk zal zijn om aan te tonen dat Sony wel degelijk nalatig is geweest.
Het totale kostenplaatje van het probleem, puur gebaseerd op hoeveel geld er per 'dossier' ontvreemd werd in 2010, zou wel eens op 24 miljard dollar kunnen komen te liggen. Sony laat echter weten dat de veiligheidscode van kredietkaarten sowieso niet gestolen werd en er dus geen reden tot bezorgdheid is.
Om deze problemen in de toekomst te vermijden is Sony momenteel naarstig bezig om alles over te zetten en te verbeteren. Sowieso zullen alle PSN-gebruikers wel gevraagd worden om hun paswoord aan te passen zodra PSN terug actief is. Blijkbaar mag er wel nog wat aan gewerkt worden, want zowel PSN als sociale netwerksites zijn een vogel voor de hack-kat, volgens experts. Banken zijn beter beveiligd, maar boeten daar echter wel voor in qua klantvriendelijkheid.
Ondertussen krijgen de aandelen van Sony kleine klappen, al is niet iedereen negatief. Geohot daarentegen hoopt dat de hackers de informatie niet zullen doorverkopen, al geeft hij Sony (uiteraard?) wel een aantal vegen uit de pan. Om ook voor de ontwikkelaars nog wat ondersteuning te bieden, zouden er al nieuwe SDK-kits worden uitgestuurd met extra beveiligingsmaatregelen voor wanneer PSN terug online komt.
De PlayStation Blog-sites, de plek waar mensen momenteel hun ergernis en frustratie kwijt kunnen omtrent het probleem, beginnen ook stil te vallen. De cookies die gebruikt worden om in te loggen, zijn immers gekoppeld aan PSN-accounts en vervallen automatisch na een week. Steeds meer mensen kunnen dus niet meer inloggen en reageren. Sony raadt wel hun Twitters aan om hen te blijven contacteren, indien gewenst.
In Australië is een onderzoek gestart naar kredietfraude waarbij een man aardig wat geld kwijtspeelde. Zelf vermoedt hij een link met de recente gebeurtenissen rond PSN, en dus is dit mogelijk een eerste geval waarbij de kredietkaardgegevens van een PSN-gebruiker ook effectief worden misbruikt. Zeker is het uiteraard nog niet, maar het onderzoek loopt.
Voorts gaat het gerucht de ronde dat de hackers (een deel van) de buitgemaakte database met alle info te koop aanbiedt. Eerst zou Sony de kans hebben gekregen alles te kopen, maar zij zouden dat naar verluidt geweigerd hebben. Er zijn echter aanwijzingen dat het hier om valse info gaat, dus de nodige korreltjes zout zijn welkom.
Sony heeft ook officieel gesteld dat er zich geen problemen vormen voor trophies, cloud save files en andere data. Deze worden allemaal weer aan de juiste accounts gekoppeld. Wie dacht dat alle gegevens na gestolen ook effectief verloren waren, heeft het dus mis. Voorts bekijkt Sony de mogelijkheden voor een soort van compensatie en hoopt men PSN tegen 3 mei weer online te hebben.
Sony maakt bekend dat het morgen in Japan een persconferentie zal houden over de PSN-problemen.