Cu excepția cazului în care ați trăit în vechea peșteră a lui Osama Bin Laden, nu puteți să nu observați că Sony se simte rău în acest moment.
În primul rând, PlayStation Network este piratată și datele clienților compromise, apoi descoperim că rețeaua Sony Online Entertainment a suferit aceeași soartă. S-au scris multe, inclusiv un editorial excelent aici la PC Pro, care acoperă ce și de ce a încălcării, așa că nu mai are rost să revin peste asta.
Sunt mai interesat de modul în care a răspuns Sony după ce a descoperit încălcarea. Gigantul jocurilor a înțeles bine în ceea ce privește dezvăluirea în acest caz? Este Papa un dansator din buric?
A fost destul de rău că Sony a durat atât de mult să informeze clienții despre încălcarea PlayStation Network: o săptămână este un timp foarte lung. Totuși, atât a durat Sony, una dintre cele mai mari ținute de divertisment de pe planetă, să confirme ce date au fost compromise și să informeze clienții că ar putea fi în pericol.
Pur și simplu nu suficient de bun, Sony. Da, trebuie să vă clarificați faptele înainte de a deveni public, dar într-o săptămână în care clienții dumneavoastră au fost expuși unui potențial risc de fraudă cu cardul de credit și nu ați făcut nimic?
Ross Brewer, director la firma de analiză a jurnalelor LogRhythm, îmi împărtășește surpriza afirmând că „conturile de utilizator compromise au fost descoperite încă din 17 aprilie... cu toate acestea, a fost nevoie de șapte zile pentru a avertiza utilizatorii că aceștia sunt acum expuși unui risc crescut de escrocherii prin e-mail, telefon și poștă, precum și cu carduri de credit. fraudă".
Pur și simplu nu suficient de bun, Sony. Da, trebuie să vă clarificați faptele înainte de a deveni public, dar într-o săptămână în care clienții dumneavoastră au fost expuși unui potențial risc de fraudă cu cardul de credit și nu ați făcut nimic? După cum subliniază William Beer, director în practica de securitate a informațiilor a PwC, „perioada de după o încălcare este critică de timp în ceea ce privește comunicarea cu consumatorii, autoritățile de reglementare și protejarea reputației” – mai ales atunci când încrederea consumatorilor este testată de cantitatea de informații personale pe care se așteaptă să le divulge și să le încredințeze pentru a obține beneficiile unui online serviciu. Chiar și comisarul european pentru justiție Viviane Reding a spus că șapte zile „sunt mult prea lungi”.
Dar asta nu este jumătate. Se pare că rețeaua Sony Online Entertainment, care deservește jucătorii de pe computer și a văzut încă 24,6 milioane detaliile clienților compromise pentru a adăuga la cele 50 de milioane de pe PlayStation Network în sine, au fost de fapt piratate primul. Sony știa despre hack, dar nu credea că niciuna dintre datele clienților a fost compromisă, așa că taci. Mare greșeală, după cum se dovedește. Reputația Sony va fi, în opinia mea niciodată umilă, rănită mult mai mult de târâtoare dezvăluiri ale expunerii datelor consumatorilor decât prejudiciul pe termen scurt de a avertiza clienții să fie în gardă, doar în cazul în care.
Lastpass dă exemplu
Dacă Sony vrea să știe ce ar fi trebuit să facă, atunci nu căutați mai departe decât povestea emergentă a unui potențial atac de tip hack la serviciul de gestionare a parolelor Lastpass. Compania „a observat o problemă” ieri prin care jurnalele sale au dezvăluit o anomalie de trafic de rețea pe o mașină necritică și la s-a încheiat ancheta, neputând identifica cauza principală și depistarea unor activități de potrivire în ceea ce privește traficul de ieșire a existat potențialul ca un hacker să fi încălcat baza de date și să fi transferat adrese de e-mail, sarea serverului și sarea lor. hash-uri de parole.
Mai degrabă decât să-și păstreze mama de frica de vătămare a reputației, Lastpass imediat utilizatorii săi și a pus în aplicare o procedură pentru a-i forța să-și schimbe parolele principale. „Potențiala amenințare aici este forțarea brutală a parolei dumneavoastră principale folosind cuvinte din dicționar, apoi accesarea LastPass cu acea parolă pentru a vă obține datele”, a spus un purtător de cuvânt al Lastpass. „Din păcate, nu toată lumea alege o parolă principală care este imună la forțarea brută”.
Pe lângă forțarea schimbării parolei, Lastpass a cerut ca cererea să provină de la o IP cunoscută sau cu o validare prin e-mail pentru securitate suplimentară. „Ne dăm seama că aceasta poate fi o reacție exagerată și ne cerem scuze pentru perturbarea pe care o va provoca.” purtătorul de cuvânt a spus „dar preferăm să fim paranoici și să vă deranjăm puțin decât să ne pare și mai rău mai tarziu".
Acum, asta poate suna ca o sinucidere comercială, atunci când considerați că aceasta este o ținută de securitate care oferă un serviciu de seif de parole, admițând că este posibil să fi fost compromisă. Vă rog să fiu diferit: aceasta este o companie de securitate care își ia în serios responsabilitățile (deși dacă a avut loc o încălcare, atunci trebuie puse câteva întrebări dificile). Dezvăluirea rapidă și sinceră menține relația de încredere cu clienții săi.
Asculți Sony?
