Sonys PSN-katastrofe

Kredittkortsvindler havner i avisene på ukentlig basis. Noen får skimmet kortet i bankautomaten på Ica, en annen har handlet på nett uten å ha fått varene sine mens den siste har latt barna bruke kredittkortet og endt opp med 50 000 i minus. Det er så absolutt ulemper med kredittkort, men til syvende og sist er det både billigere, sikrere og fremfor alt mer miljøvennlig enn å bruke kontanter.

Likevel er det flust av mennesker som nekter å bruke kredittkort, som er skeptiske til å handle over nett. Og her kommer Xbox Live Marketplace og PSN inn i bildet. Det er akkurat det samme som å legge igjen opplysninger over nett, men tjenestene gjør at det ikke fremstår slik. Og når store bedrifter som Sony og Microsoft garanterer at våre penger og personlige opplysninger er godt bevart er det lett å føle seg trygg.

Illusjonen av sikkerhet har fått et milliontalls mennesker til å legge ut kredittkortinformasjonen sin på respektive tjenester. Det fremstår som en sikker og lettvint måte å gjøre det på, og slik har det alltid fremstått. Men nylig tok en eller flere hackere kål på Sonys PSN-system, der de fikk tak sensitive person- og kontoopplysninger. Sony ble dermed tvunget til å stenge hele PSN på ubestemt tid for å bygge et nytt og sikrere system.

Deretter begynte rapportene om sikkerhetsbruddet å strømme inn. Sony-fans prøvde febrilsk å overbevise oss om at det pågikk vedlikehold på PSN, ettersom Sony hadde sagt det. Som om at offisielle PR-beskjeder har noe som helst med sannheten å gjøre. Påskehelgen gikk sin gang, og først på mandag kveld, fire dager senere, krøp Sony til korset og erkjente at de hadde blitt hacket.

Denne katastrofen skyldes flere parter, og det er selvfølgelig hackerne som får det meste av støyten. Selv om døren min er åpen når jeg skal kaste søpla fortjener jeg vel ikke å bli ranet, resonnerte jeg meg frem til i min blogg for litt siden. Og i prinsippet er dette helt korrekt, men siden den gang har det dukket opp flere og flere detaljer som ikke faller i Sonys favør.

Ta bare måten de annonserte det på. Sony valgte å bruke tiden før kunngjøringen på å reparere skadene selv, slik at PR-skaden skulle bli mindre. Det minner litt om måten BP håndterte den ødelagte oljeplattformen Deepwater Horizon på. De ville ordne det selv fremfor å skaffe hjelp med en gang. En typisk feil hos større bedrifter.

Om jeg ikke låser døren min risikerer jeg å miste alle tingene mine. Samme prinsipp gjelder en ulåst sykkel midt i Oslo. Sony har bevart alle våre eiendeler og sykler i et skrøpelig skur, låst med en simpel hengsel. Og det er faktisk ikke i orden. Ikke i det hele tatt.

Den bristende PSN-sikkerheten ble drøftet på en IRC-kanal for hackere så tidlig som i februar. De diskuterte de åpenbare hullene i detalj, men Sony valgte å ikke gjøre noe. Om de skulle gjort noe med det måtte de nemlig ha sperret PSN for å avverge en eventuell krise, og det var uaktuelt for Sony-toppene. For dette har Sony vært klar over lenge. Tro meg. De er ikke dumme, og i den siste tiden har de gjort alt for å bevise at de har stålkontroll på hacker-samfunnet.

Som om ikke det var nok har de latt alle passord, kontodetaljer og lignende ligge ukryptert. Den ultimate dødssynden. Vi vet alle hvor vanskelig det er å få tilbake passordet ditt fra sikre websider. Man får ikke et nytt passord uten å skrive inn det gamle. Nettsiden lagrer jo ikke passordet ditt - den vet ikke hva det er. Gjennom en matematisk formel har den forvandlet passordet til noe helt annet, og lagrer det i stedet for maksimal sikkerhet.

Og Sony? De har latt disse opplysningene ligge ubeskyttet. Vi kunne like greit ha lagt en pengesekk i nevnte skur, slik at skurkene kan knabbe alt ved et enkelt klipp på låsen. Det er utrolig at de har latt det ligge ubeskyttet så lenge.

Hvordan situasjonen er med kredittkortene vil de ikke svare på. De skal visstnok ha vært krypterte, men de vil ikke fortelle om de har kommet på avveie eller om de kan brukes av utenforstående personer. Om det jeg og resten av de jeg har snakket med tror stemmer har hackerne fått tak i absolutt alt. Vi hører nye rapporter hele tiden om PSN-brukere som har blitt utsatt for uttaksforsøk på flere tusen kroner. Det kan godt hende at dette ikke er tilfellet, men det betyr ikke at situasjonen er tilgivelig.

Og hva med deg? Bruker du samme passord på PSN som på e-mailen din? Paypal? American Express? Facebook? Xbox Live? Gamereactor? Om hackerne vil kan de nemlig ta all denne informasjonen. Identitetstyveri skjer selv i sikre Norge, og det er rett og slett merkelig at Sony har gjort så lite for å forhindre dette.

Det synes tydeligvis ikke Sony. I sine avtaler skrives det nemlig at de fraskriver seg alt ansvar i slike saker, uavhengig av omfanget. Kort fortalt vil de ikke bruke penger på sikkerhet med mindre de absolutt må. Dette er stikk i strid med loven i for eksempel Storbritannia, der Information Commissoners Office skriver følgende: "...this clause would not free them from their obligations under the UK Data Protection Act."

Nå skal det sies at risikoen for å bli rammet er veldig liten. Det er like sannsynlig som å bli spist av en utdødd kjempebever og å få 13 rette i Lotto. Problemet er at risikoen er der - flere av oss tipper Lotto, spiller hos Bet365 og satser på hester for å ha mulighet til å håve i land gevinsten. Nå risikerer vi å tape samme mengde.

Det er altså på tide å gjøre noe. For det første bør man bytte passord på alle stedene du bruker PSN-passordet, og velge et nytt sikkerhetsspørsmål. Hackerne har nemlig det også, så om du har oppgitt samme svar kan du benytte seg av det.

For det andre bør man be banken om et nytt kort. Sony har uttalt at man bør sjekke kontoutskriftene sine, men om du skaffer et nytt kort forenkler du saken umiddelbart. Det er gratis og sikkert, og definitivt å foretrekke.

Flere av våre lesere endret sin PSN-informasjon før angrepet, og lurer på om det betyr at de er trygge. Det kan vi ikke svare på, siden Sony ikke offentliggjør slik informasjon. Av den grunn er det enkleste å bytte kort. Da er man helt sikker på at man er trygg, og du trenger ikke å bekymre deg for at kortet ditt kan brukes.

Om man gjør disse trinnene (passord/sikkerhetsspørsmål og kortbytte) kan man puste lettet ut, og man slipper å bekymre seg for hva som skjer om opplysningene kommer på avveie. Jeg har gjort det selv, og det brukte jeg ikke mer enn ti minutter på. Så for min del er irritasjonsmomentet at PSN er nede, og at dette vil være tilfellet i en god stund.

Men selv om du er sikker mot eventuelle angrep er ikke det slutten på visa. Det er snakk om 77 millioner hackede kontoer. PSN-krisen er allerede kjent som det største hackerangrepet noen sinne, og det vil sende sjokkbølger gjennom spillerverdenen i en god stund fremover. Til dels fordi det vil bli dyrere enn Microsofts Red Ring of Death, samt at det vil øke skepsisen rundt netthandelen.

En bråte av våre lesere har fått kjeft tidligere for å ha lånt kredittkortet til sine foreldre for å bruke penger på PSN. Andre har vært skeptiske, og ikke engang tenkt på å handle der. Denne saken gjør ikke skepsisen mindre.

Det sies at brent barn skyr ilden, og etter store angrep eller uregelmessigheter tar det en stund før troen til produktet eller selskapet gjenopprettes. Om Sony tror at så mange mennesker vil stole på en tjeneste som har vært i negativt søkelys i over to uker befinner de seg langt bak mål.

Handelen over PSN vil nok synke betraktelig, og de som vil handle vil i større grad gjøre det med forhåndsbetalte kort. Jeg vil bruke sistnevnte teknikk. Dette er negativt fordi Sony og spillutgiverne tjener betydelig mindre på det, ettersom disse kortene skattes hardere, selges i butikker for en mellomsum og har en materiell kostnad.

Distributørene er også bli misfornøyde, siden de ikke får solgt spillet sitt på PSN for øyeblikket. Titler som skulle ha blitt lansert ligger og koster penger, mens de som har kjøpt PSN+ angrer seg og vil ha pengene tilbake. I kjølvannet vil nok enda færre knytte seg til tjenesten. Det betyr altså at Sony vil måtte betale mer for nedlastbare eksklusiviteter, siden fåtallet er interessert i å kjøpe noe fra dem.

I tillegg vil det strømme inn søksmål fra privatpersoner og bedrifter, samt utredninger om lovbrudd ettersom de ventet så lenge med å informere om katastrofen. I ettertid vil vi flertallet få mindre tillit til konsollen, ettersom dette har fått plass i alt fra VG, P3 og New York Times. Det blir det færre kunder av, som medfører en automatisk stigning for konkurrentene. Det blir svindyrt for Sony.

Et firma som spesialiserer seg på datasikkerhet stilte seg spesielt negativ til saken, og forklarte at skadene kunne ligge på hele 150 milliarder kroner. Sony er ikke engang verdt 200 milliarder. Jeg tviler sterkt på at det dreier seg om så store summer, men det er jo ikke positivt at aksjekursen falt med åtte prosent i forrige uke. Et selskap i fritt fall.

Hva som skjer med Playstation 3 og Sony etter dette gjenstår å se, men vi kan regne med at ringvirkningene av kjempeskandalen vil henge igjen i flere år. Og siden Playstation 3 har vært Sonys store flaggskip blir det interessant å se hva som skjer fremover.

Vil dette si at den nye maskinen kommer tidligere? Kanskje den vil komme senere for å fjerne ulempene med Playstation 3? Det gjenstår å se, men jeg er rimelig sikker på at vi aldri vil se et hackerangrep av slike dimensjoner igjen. Dette bør bransjen lære av - sikkerhetsbruddet er nemlig utrolig stort.