Interrupção da PlayStation Network em 2011 - 2011 PlayStation Network outage
A queda de 2011 PlayStation Network (por vezes referido como o PSN hack ) foi o resultado de uma " intrusão externa " na Sony 's PlayStation Network e Qriocity serviços, em que dados pessoais de cerca de 77 milhões de contas foram comprometidas e impediu os utilizadores de PlayStation 3 e consoles PlayStation Portable acessem o serviço. O ataque ocorreu entre 17 e 19 de abril de 2011, forçando a Sony a desligar a PlayStation Network em 20 de abril. Em 4 de maio, a Sony confirmou que informações de identificação pessoal de cada uma das 77 milhões de contas foram expostas. A interrupção durou 23 dias.
No momento da interrupção, com uma contagem de 77 milhões de contas registradas na PlayStation Network, foi uma das maiores violações de segurança de dados da história. Superou o hack TJX de 2007, que afetou 45 milhões de clientes. Autoridades do governo em vários países expressaram preocupação com o roubo e o atraso de uma semana da Sony antes de alertar seus usuários.
A Sony declarou em 26 de abril que estava tentando colocar os serviços online em execução "dentro de uma semana". Em 14 de maio, a Sony lançou a versão 3.61 do firmware do PlayStation 3 como um patch de segurança. O firmware exigia que os usuários alterassem a senha de sua conta ao fazer login. No momento em que o firmware foi lançado, a rede ainda estava offline. A restauração regional foi anunciada por Kazuo Hirai em um vídeo da Sony. Um mapa da restauração regional e da rede dentro dos Estados Unidos foi compartilhado enquanto o serviço voltava a ficar online.
Linha do tempo da interrupção
Em 20 de abril de 2011, a Sony reconheceu que no Blog oficial do PlayStation que estava "ciente de que certas funções da PlayStation Network" estavam fora do ar. Ao tentar entrar através do PlayStation 3 , os usuários receberam uma mensagem indicando que a rede estava "em manutenção". No dia seguinte, a Sony pediu paciência a seus clientes enquanto a causa da interrupção era investigada e afirmou que pode levar "um ou dois dias inteiros" para que o serviço volte a funcionar totalmente.
A empresa anunciou mais tarde que uma "intrusão externa" havia afetado os serviços PlayStation Network e Qriocity. Essa intrusão ocorreu entre 17 e 19 de abril. Em 20 de abril, a Sony suspendeu todos os serviços da PlayStation Network e Qriocity em todo o mundo. A Sony expressou seu pesar pelo tempo de inatividade e chamou a tarefa de consertar o sistema de "demorada", mas levaria a uma infraestrutura de rede mais forte e segurança adicional. Em 25 de abril, o porta-voz da Sony, Patrick Seybold, reiterou no blog do PlayStation que consertar e melhorar a rede era um processo "demorado", sem previsão de conclusão. No entanto, no dia seguinte, a Sony afirmou que havia um "caminho claro para ter os sistemas PlayStation Network e Qriocity online novamente", com alguns serviços sendo restaurados dentro de uma semana. Além disso, a Sony reconheceu o "comprometimento de informações pessoais como resultado de uma invasão ilegal em nossos sistemas."
Em 1º de maio, a Sony anunciou um programa "Welcome Back" para os clientes afetados pela interrupção. A empresa também confirmou que alguns serviços PSN e Qriocity estariam disponíveis durante a primeira semana de maio. A lista de serviços que devem ser disponibilizados inclui:
- Restauração da jogabilidade online nos sistemas PlayStation 3 (PS3) e PSP (PlayStation Portable)
- Isso inclui títulos que requerem verificação online e jogos baixados
- Acesso ao Music Unlimited fornecido pela Qriocity para PS3 / PSP para assinantes existentes
- Acesso ao gerenciamento de contas e redefinição de senha
- Acesso para baixar locações de filmes não expiradas no PS3, PSP e MediaGo
- PlayStation Home
- Lista de amigos
- Funcionalidade de bate-papo
Em 2 de maio, a Sony emitiu um comunicado à imprensa, segundo o qual os serviços da Sony Online Entertainment (SOE) foram colocados off-line para manutenção devido a atividades potencialmente relacionadas durante o hack criminoso inicial. Mais de 12.000 números de cartão de crédito, embora em formato criptografado , de portadores de cartão não americanos e informações adicionais de 24,7 milhões de contas SOE podem ter sido acessadas.
Durante a semana, a Sony enviou uma carta à Câmara dos Deputados dos Estados Unidos , respondendo a perguntas e dúvidas sobre o evento. Na carta, a Sony anunciou que forneceria apólices de seguro contra roubo de identidade no valor de US $ 1 milhão por usuário dos serviços da PlayStation Network e Qriocity, apesar de nenhum relato de fraude de cartão de crédito ter sido indicado. Isso foi posteriormente confirmado no Blog do PlayStation, onde foi anunciado que o serviço, AllClear ID Plus desenvolvido por Debix , estaria disponível para usuários nos Estados Unidos gratuitamente por 12 meses, e incluiria vigilância na Internet, reparo completo de identidade no evento de roubo e uma apólice de seguro contra roubo de identidade de $ 1 milhão para cada usuário.
Em 6 de maio, a Sony declarou que havia iniciado os "estágios finais de testes internos" para a PlayStation Network, que havia sido reconstruída. No entanto, no dia seguinte, a Sony informou que não seria capaz de trazer os serviços de volta online no prazo de uma semana dado em 1º de maio, porque "a extensão do ataque aos servidores da Sony Online Entertainment" não era conhecida na época. A SOE confirmou em sua conta no Twitter que seus jogos só estariam disponíveis depois do fim de semana.
A Reuters começou a relatar o evento como "a maior invasão de segurança na Internet de todos os tempos". Um porta-voz da Sony disse:
- A Sony removeu os dados pessoais de 2.500 pessoas roubadas por hackers e postou em um site
- Os dados incluíam nomes e alguns endereços, que constavam de um banco de dados criado em 2001
- Nenhuma data foi fixada para o reinício
Em 14 de maio, vários serviços começaram a ficar online novamente, país por país, começando pela América do Norte. Esses serviços incluem: login para serviços PSN e Qriocity (incluindo redefinição de senha), jogo online no PS3 e PSP, reprodução de conteúdo de vídeo para aluguel, serviço Music Unlimited (PS3 e PC), acesso a serviços de terceiros (como Netflix, Hulu, Vudu e MLB.tv), lista de amigos, funcionalidade de chat e PlayStation Home. As ações vieram com uma atualização de firmware para o PS3, versão 3.61. Em 15 de maio, o serviço no Japão e no Leste Asiático ainda não havia sido aprovado.
Em 18 de maio, a SOE fechou a página de redefinição de senha em seu site após a descoberta de outro exploit que permitia aos usuários redefinir as senhas de outros usuários, usando o endereço de e -mail e a data de nascimento do outro usuário . O login usando detalhes do PSN para vários outros sites da Sony também foi desativado, mas os logins do console não foram afetados.
Em 23 de maio, a Sony declarou que os custos de interrupção foram de US $ 171 milhões.
Resposta da Sony
Câmara dos Representantes dos EUA
A Sony relatou em 4 de maio ao Blog do PlayStation que:
Kazuo Hirai, Presidente do Conselho de Administração da Sony Computer Entertainment America, enviou respostas por escrito a perguntas feitas pelo subcomitê da Câmara dos Estados Unidos sobre o ataque cibernético criminoso em grande escala que experimentamos.
A Sony comunicou por meio da carta que:
Em resumo, dissemos ao subcomitê que, ao lidar com esse ataque cibernético, seguimos quatro princípios-chave:
- Aja com cuidado e cautela.
- Forneça informações relevantes ao público quando for verificado.
- Assuma a responsabilidade por nossas obrigações para com nossos clientes.
- Trabalhe com as autoridades responsáveis pela aplicação da lei.
Também informamos ao subcomitê o seguinte:
- A Sony foi vítima de um ataque cibernético criminoso cuidadosamente planejado, muito profissional e altamente sofisticado.
- Descobrimos que os invasores plantaram um arquivo em um de nossos servidores da Sony Online Entertainment chamado “Anonymous” com as palavras “We are Legion”.
- Em 25 de abril, as equipes forenses puderam confirmar o escopo dos dados pessoais que acreditavam ter sido coletados e não puderam descartar se as informações do cartão de crédito foram acessadas. Em 26 de abril, notificamos os clientes desses fatos.
- Até hoje, as principais empresas de cartão de crédito não relataram nenhuma transação fraudulenta que acreditem ser o resultado direto desse ataque cibernético.
- Proteger os dados pessoais dos indivíduos é a maior prioridade e garantir que a Internet possa se tornar segura para o comércio também é essencial. Em todo o mundo, países e empresas terão que se unir para garantir a segurança do comércio na Internet e encontrar maneiras de combater o crime cibernético e o terrorismo cibernético.
- Estamos tomando várias medidas para evitar violações futuras, incluindo níveis aprimorados de proteção e criptografia de dados; capacidade aprimorada de detectar intrusões de software, acesso não autorizado e padrões de atividade incomuns; firewalls adicionais; estabelecimento de um novo data center em local não divulgado com maior segurança; e a nomeação de um novo Diretor de Segurança da Informação.
Explicação de atrasos
Em 26 de abril de 2011, a Sony explicou no Blog do PlayStation por que demorou tanto para informar os usuários da PSN sobre o roubo de dados:
Há uma diferença de tempo entre o momento em que identificamos que houve uma intrusão e o momento em que soubemos que os dados dos consumidores foram comprometidos. Soubemos que houve uma invasão em 19 de abril e, posteriormente, encerramos os serviços. Em seguida, trouxemos especialistas externos para nos ajudar a aprender como a intrusão ocorreu e conduzir uma investigação para determinar a natureza e o escopo do incidente. Foi necessário realizar vários dias de análise forense, e nossos especialistas levaram até ontem para entender o escopo da violação. Em seguida, compartilhamos essa informação com nossos consumidores e a anunciámos publicamente esta tarde.
Investigação sony
Um possível roubo de dados levou a Sony a fornecer uma atualização em relação a uma investigação criminal em um blog postado em 27 de abril: "No momento, estamos trabalhando com a aplicação da lei sobre este assunto, bem como uma empresa de segurança de tecnologia reconhecida para conduzir uma investigação completa. Isso é malicioso O ataque contra o nosso sistema e contra os nossos clientes é um ato criminoso e estamos a proceder agressivamente para encontrar os responsáveis. "
Em 3 de maio, o CEO da Sony Computer Entertainment, Kazuo Hirai, reiterou isso e disse que a "intrusão externa" que os fez fechar a PlayStation Network constituiu um "ataque cibernético criminoso". Hirai expandiu ainda mais, alegando que os sistemas da Sony estiveram sob ataque antes da interrupção "durante o último mês e meio", sugerindo uma tentativa concertada de atingir a Sony.
Em 4 de maio, a Sony anunciou que estava adicionando o Data Forte à equipe de investigação da Guidance Software e Protiviti para analisar os ataques. Os aspectos jurídicos do caso foram tratados pela Baker & McKenzie. A Sony declarou sua crença de que o Anonymous , um grupo descentralizado, desorganizado e vagamente afiliado de hackers e ativistas, pode ter realizado o ataque. Nenhum Anons reivindicou qualquer envolvimento.
Ao saber que havia ocorrido uma violação, a Sony lançou uma investigação interna. A Sony relatou, em sua carta ao Congresso dos Estados Unidos:
Uma de nossas primeiras ligações foi para o FBI, e esta é uma investigação ativa e em andamento.
Você identificou como a violação ocorreu?
Sim, acreditamos que sim. A Sony Network Entertainment America está continuando sua investigação sobre essa intrusão criminosa e informações mais detalhadas podem ser descobertas durante esse processo. Relutamos em disponibilizar todos os detalhes ao público porque as informações são objeto de uma investigação criminal em andamento e também podem ser usadas para explorar vulnerabilidades em sistemas que não sejam da Sony, que possuem arquitetura semelhante à PlayStation Network.
Incapacidade de usar o conteúdo do PlayStation 3
Enquanto a maioria dos jogos permaneceu jogável em seus modos offline, o PlayStation 3 foi incapaz de jogar certos títulos da Capcom de qualquer forma. Provedores de streaming de vídeo em diferentes regiões, como Hulu , Vudu , Netflix e LoveFilm, exibiram a mesma mensagem de manutenção. Alguns usuários alegaram ser capazes de usar o serviço de streaming da Netflix, mas outros não.
Críticas à Sony
Aviso atrasado de possível roubo de dados
Em 26 de abril, quase uma semana após a queda, a Sony confirmou que "não pode descartar a possibilidade" de informações de identificação pessoal , como nome de usuário, senha, endereço residencial e endereço de e-mail da PlayStation Network. A Sony também mencionou a possibilidade de que dados de cartão de crédito tenham sido obtidos - após alegar que a criptografia foi colocada nos bancos de dados, o que satisfaria parcialmente a conformidade com PCI para armazenar informações de cartão de crédito em um servidor. Após o anúncio no blog oficial e por e-mail, os usuários foram solicitados a proteger as transações com cartão de crédito verificando extratos bancários. Este aviso veio quase uma semana após a " intrusão externa " inicial e enquanto a rede estava desligada.
Alguns contestaram essa explicação e questionaram que se a Sony considerou a situação tão grave que eles tiveram que desligar a rede, a Sony deveria ter avisado os usuários sobre um possível roubo de dados antes de 26 de abril. Foram levantadas preocupações sobre violações de conformidade com PCI e a falha para notificar imediatamente os usuários. O senador americano Richard Blumenthal escreveu ao CEO da Sony Computer Entertainment America, Jack Tretton, questionando o atraso.
A Sony respondeu em uma carta ao subcomitê:
Seu extrato indicou que você não tem evidências no momento de que as informações do cartão de crédito foram obtidas, mas você não pode descartar essa possibilidade. Explique por que você não acredita que as informações do cartão de crédito foram obtidas e por que você não pode determinar se os dados foram de fato coletados. Conforme declarado acima, a Sony Network Entertainment America não foi capaz de concluir com certeza, por meio da análise forense feita até o momento, que as informações do cartão de crédito não foram transferidas do sistema PlayStation Network. Sabemos que, para outras informações pessoais contidas no banco de dados da conta, o hacker fez consultas ao banco de dados e as equipes forenses externas viram grandes quantidades de dados transferidos em resposta a essas consultas. Nossas equipes forenses não viram as consultas e as transferências de dados correspondentes das informações do cartão de crédito.
Detalhes pessoais não criptografados
Os dados do cartão de crédito foram criptografados, mas a Sony admitiu que outras informações do usuário não estavam criptografadas no momento da invasão. O Daily Telegraph relatou que "Se o provedor armazena senhas não criptografadas, então é muito fácil para outra pessoa - não apenas um invasor externo, mas membros da equipe ou contratados trabalhando no site da Sony - obter acesso e descobrir essas senhas, potencialmente usando-as para significa nefasto. " Em 2 de maio, a Sony esclareceu o status "não criptografado" das senhas dos usuários, afirmando que:
Embora as senhas armazenadas não tenham sido “criptografadas”, elas foram transformadas por meio de uma função de hash criptográfica . Há uma diferença entre esses dois tipos de medidas de segurança, por isso dissemos que as senhas não foram criptografadas. Mas quero deixar bem claro que as senhas não foram armazenadas em nosso banco de dados na forma de texto não criptografado.
British Information Commissioners Office
Após uma investigação formal da Sony por violações da Lei de Proteção de Dados do Reino Unido de 1998 , o Information Commissioners 'Office emitiu uma declaração altamente crítica da segurança que a Sony tinha em vigor:
Se você é responsável por tantos detalhes de cartão de pagamento e detalhes de login, manter esses dados pessoais seguros deve ser sua prioridade. Nesse caso, isso simplesmente não aconteceu, e quando o banco de dados foi direcionado - embora em um ataque criminoso determinado - as medidas de segurança em vigor simplesmente não eram boas o suficiente. Não há como disfarçar que este é um negócio que deveria ter conhecido melhor. É uma empresa que aposta na sua competência técnica e não tenho dúvidas de que teve acesso ao conhecimento técnico e aos recursos para manter esta informação segura.
A Sony foi multada em £ 250.000 ($ 395k) por medidas de segurança tão precárias que não cumpriram a lei britânica.
Interrupção do Sony Online Entertainment
Em 3 de maio, a Sony afirmou em um comunicado à imprensa que pode haver uma correlação entre o ataque que ocorreu em 16 de abril contra a PlayStation Network e aquele que comprometeu a Sony Online Entertainment em 2 de maio. Esta parte do ataque resultou em roubo de informações em 24,6 milhões de titulares de contas da Sony Online Entertainment. O banco de dados continha 12.700 números de cartão de crédito, principalmente de não residentes nos Estados Unidos, e não estava em uso desde 2007, pois muitos dos dados se aplicavam a cartões vencidos e contas excluídas. A Sony atualizou essas informações no dia seguinte, informando que apenas 900 cartões do banco de dados ainda eram válidos. O ataque resultou na suspensão de servidores SOE e jogos do Facebook . A SOE concedeu 30 dias de tempo livre, mais um dia para cada dia em que o servidor ficou inativo, para usuários de Clone Wars Adventures , DC Universe Online , EverQuest , EverQuest II , EverQuest Online Adventures , Free Realms , Pirates of the Burning Sea , PlanetSide , Poxnora , Star Wars Galaxies e Vanguard: Saga of Heroes , bem como outras formas de compensação para todos os outros jogos Online da Sony.
Os especialistas em segurança Eugene Lapidous da AnchorFree, Chester Wisniewski da Sophos Canada e Avner Levin da Ryerson University criticaram a Sony, questionando seus métodos de proteger os dados do usuário. Lapidous chamou a violação de "difícil de desculpar" e Wisniewski chamou de "um ato de arrogância ou simplesmente incompetência grosseira".
Reação
Compensação aos usuários
A Sony organizou eventos especiais depois que a PlayStation Network voltou ao serviço. A Sony declarou que tinha planos para versões PS3 de DC Universe Online e Free Realms para ajudar a aliviar algumas de suas perdas. Em uma coletiva de imprensa em Tóquio em 1º de maio, a Sony anunciou um programa "Welcome Back". Além do "conteúdo de entretenimento PlayStation selecionado", o programa prometia incluir 30 dias de assinatura gratuita do PlayStation Plus para todos os membros da PSN, enquanto os membros existentes do PlayStation Plus recebiam 30 dias adicionais em sua assinatura. Os assinantes da Qriocity receberam 30 dias. A Sony prometeu outros conteúdos e serviços nas próximas semanas. A Sony ofereceu proteção gratuita contra roubo de identidade por um ano para todos os usuários, com detalhes em breve.
O Hulu compensou os usuários do PlayStation 3 pela incapacidade de usar seu serviço durante a interrupção, oferecendo uma semana de serviço gratuito aos membros do Hulu Plus.
Em 16 de maio de 2011, a Sony anunciou que dois jogos para PlayStation 3 e dois jogos para PSP seriam oferecidos gratuitamente em listas de cinco e quatro, respectivamente. Os jogos disponíveis variavam por região e estavam disponíveis apenas em países que tinham acesso à PlayStation Store antes da interrupção. Em 27 de maio de 2011, a Sony anunciou o pacote de "boas-vindas de volta" para o Japão e a região da Ásia (Hong Kong, Cingapura, Malásia, Tailândia e Indonésia). Na região da Ásia, um tema - Dokodemo Issyo Spring Theme - foi oferecido gratuitamente, além dos jogos disponíveis no pacote "bem-vindo de volta".
^ † 5 jogos PSP são oferecidos no mercado japonês.
| Jogo | América do Norte | Europa (exceto Alemanha) | Alemanha | Ásia | Japão |
|---|---|---|---|---|---|
| Wipeout HD / Fury | sim | sim | sim | sim | sim |
| Pequeno grande planeta | sim | sim | sim | Não | Não |
| Infame | sim | sim | Não | Não | Não |
| Dead Nation | sim | sim | Não | Não | Não |
| Super Stardust HD | sim | Não | sim | Não | Não |
| Ratchet & Clank: Quest for Booty | Não | sim | sim | Não | Não |
| Hustle Kings | Não | Não | sim | sim | sim |
| O ultimo cara | Não | Não | Não | sim | sim |
| Lata de lixo | Não | Não | Não | sim | Não |
| Vamos, LocoRoco !! BuuBuu Cocoreccho | Não | Não | Não | sim | sim |
| Ecocromo: Abertura | Não | Não | Não | Não | sim |
| Jogo | América do Norte | Europa (exceto Alemanha) | Alemanha | Ásia | Japão |
|---|---|---|---|---|---|
| Pequeno grande planeta | sim | sim | sim | sim | sim |
| ModNation Racers | sim | sim | sim | sim | Não |
| Força de perseguição | sim | sim | Não | Não | Não |
| Liberação de Killzone | sim | sim | Não | Não | Não |
| Everybody's Golf 2 | Não | Não | sim | Não | Não |
| Buzz Junior Jungle Party | Não | Não | sim | Não | Não |
| Buster o estresse de todos | Não | Não | Não | sim | sim |
| Locoroco Midnight Carnival | Não | Não | Não | sim | sim |
| Patapon 2 | Não | Não | Não | Não | sim |
| O que eu fiz para merecer isso, meu senhor? | Não | Não | Não | Não | sim |
^ ‡ A versão doKillzone Liberationoferecida não oferece a funcionalidade de jogo online.
Reação do governo
O roubo de dados preocupou autoridades em todo o mundo. Graham Cluley, consultor sênior de tecnologia da Sophos , disse que a violação "certamente é considerada uma das maiores perdas de dados que afetou indivíduos".
O British Information Commissioner's Office declarou que a Sony seria questionada e que uma investigação seria realizada para descobrir se a Sony havia tomado as precauções adequadas para proteger os detalhes do cliente. De acordo com a Lei de Proteção de Dados do Reino Unido , a Sony foi multada em £ 250.000 pela violação.
A comissária de privacidade do Canadá, Jennifer Stoddart, confirmou que as autoridades canadenses investigariam. O gabinete do comissário expressou sua preocupação sobre o motivo pelo qual as autoridades canadenses não foram informadas sobre uma violação de segurança antes.
O senador norte-americano Richard Blumenthal, de Connecticut, exigiu respostas da Sony sobre a violação de dados enviando um e-mail ao CEO da SCEA, Jack Tretton, argumentando sobre a demora em informar seus clientes e insistindo que a Sony faça mais por seus clientes do que apenas oferecer serviços gratuitos de relatórios de crédito. Blumenthal mais tarde pediu uma investigação pelo Departamento de Justiça dos Estados Unidos para encontrar a pessoa ou pessoas responsáveis e determinar se a Sony era responsável pela maneira como lidou com a situação.
A congressista Mary Bono Mack e o congressista GK Butterfield enviaram uma carta à Sony, exigindo informações sobre quando a violação foi descoberta e como a crise seria tratada.
A Sony foi convidada a testemunhar antes de uma audiência no Congresso sobre segurança e responder a perguntas sobre a violação de segurança em 2 de maio, mas em vez disso enviou uma resposta por escrito.
Ação legal contra a Sony
Uma ação judicial foi postada em 27 de abril por Kristopher Johns de Birmingham, Alabama, em nome de todos os usuários do PlayStation, alegando que a Sony "falhou em criptografar dados e estabelecer firewalls adequados para lidar com uma contingência de intrusão de servidor, falhou em fornecer avisos imediatos e adequados de violações de segurança e atrasou injustificadamente para colocar o serviço PSN novamente online. " De acordo com a reclamação apresentada no processo, a Sony falhou em notificar os membros sobre uma possível violação de segurança e armazenamento de informações de cartão de crédito dos membros, uma violação do PCI Compliance - o padrão de segurança digital para a indústria de cartões de pagamento.
Um processo canadense contra a Sony USA, Sony Canada e Sony Japan reivindicou danos de até C $ 1 bilhão, incluindo monitoramento de crédito gratuito e seguro contra roubo de identidade. O queixoso foi citado como tendo dito: "Se você não pode confiar em uma grande corporação multinacional como a Sony para proteger suas informações privadas, em quem você pode confiar? Parece-me que a Sony se concentra mais em proteger seus jogos do que seus usuários de PlayStation" .
Em outubro de 2012, um juiz da Califórnia indeferiu uma ação contra a Sony sobre a violação de segurança da PSN, determinando que a Sony não havia violado as leis de proteção ao consumidor da Califórnia, citando "segurança perfeita não existe".
Em 2013 , o Gabinete do Comissário de Informação do Reino Unido cobrou à Sony uma multa de £ 250.000 por colocar em risco uma grande quantidade de dados pessoais e financeiros de clientes da PSN.
Fraude de cartão de crédito
Em maio de 2011, não havia relatórios verificáveis de fraude de cartão de crédito relacionada à interrupção. Houve relatos na Internet de que alguns usuários do PlayStation sofreram fraude de cartão de crédito; no entanto, eles ainda não estavam relacionados ao incidente. Os usuários que registraram um cartão de crédito para uso apenas com a Sony também relataram fraude de cartão de crédito. A Sony disse que os códigos CSC solicitados por seus serviços não foram armazenados, mas os hackers podem ter sido capazes de descriptografar ou registrar detalhes do cartão de crédito enquanto estavam dentro da rede da Sony.
A Sony declarou em sua carta ao subcomitê:
Quantos titulares de contas da PlayStation Network forneceram informações de cartão de crédito à Sony Computer Entertainment?
Globalmente, aproximadamente 12,3 milhões de titulares de contas tinham informações de cartão de crédito em arquivo no sistema PlayStation Network. Nos Estados Unidos, aproximadamente 5,6 milhões de correntistas tinham informações de cartão de crédito em arquivo no sistema. Esses números incluem cartões de crédito ativos e expirados.
Até hoje, as principais empresas de cartão de crédito não relataram que viram qualquer aumento no número de transações fraudulentas com cartão de crédito como resultado do ataque e não nos relataram quaisquer transações fraudulentas que acreditem ser um resultado direto das intrusões descritas acima.
Em 5 de maio, uma carta do CEO e presidente da Sony Corporation of America, Sir Howard Stringer, enfatizou que não havia evidências de fraude de cartão de crédito e que uma apólice de seguro contra roubo de identidade de $ 1 milhão estaria disponível para usuários da PSN e Qriocity:
Até o momento, não há evidências confirmadas de que qualquer cartão de crédito ou informações pessoais tenham sido usados indevidamente e continuamos monitorando a situação de perto. Também estamos avançando com planos para ajudar a proteger nossos clientes contra roubo de identidade em todo o mundo. Um programa para os clientes US PlayStation Network e Qriocity que inclui uma apólice de seguro contra roubo de identidade de US $ 1 milhão por usuário foi lançado hoje e anúncios para outras regiões estarão disponíveis em breve.
Mudança nos termos e condições
Foi sugerido que uma mudança nos termos e condições da PSN anunciada em 15 de setembro de 2011, foi motivada pelos grandes danos reivindicados por ações coletivas contra a Sony, em um esforço para minimizar as perdas da empresa. O novo acordo exigia que os usuários concordassem em abrir mão de seu direito (de se juntar como um grupo em uma ação coletiva ) de processar a Sony por qualquer violação de segurança futura, sem primeiro tentar resolver questões legais com um árbitro. Isso inclui todos os processos de ação coletiva em andamento iniciados antes de 20 de agosto de 2011.
Outra cláusula, que removia o direito do usuário de ser julgado por júri caso o usuário desistisse da cláusula (enviando uma carta à Sony), diz:
Se a cláusula de renúncia de ação coletiva for considerada ilegal ou inexequível, toda esta Seção 15 será inexequível e a disputa será decidida por um tribunal e você e a Entidade Sony com quem você tem uma disputa concordam em renunciar nessa instância, em toda a extensão permitida por lei, qualquer julgamento por júri.
A Sony garantiu que um tribunal no respectivo país, neste caso os EUA, teria jurisdição em relação a quaisquer regras ou alterações nos Termos de Serviço PSN da Sony:
Estes Termos de Serviço e todas as questões relacionadas ao desempenho, interpretação, violação ou aplicação destes Termos de Serviço, ou os direitos, obrigações e responsabilidades nossas e de você sob eles são regidos pelas leis do Estado da Califórnia. Você concorda que todas as disputas, reivindicações ou litígios decorrentes ou relacionados de alguma forma a estes Termos de Serviço e nosso relacionamento com você serão litigados apenas em um tribunal de jurisdição competente localizado no Condado de San Mateo, Estado da Califórnia. Você concorda em estar sujeito à jurisdição pessoal e local nesse local.