Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 46 reacties

Sony heeft een boete van 250.000 pond opgelegd gekregen door een overheidsinstantie in het Verenigd Koninkrijk vanwege de PSN-hack van april 2011. Volgens de Information Commissioner's Office, die de boete uitdeelt, was de hack te voorkomen geweest.

De onafhankelijke Britse privacywaakhond legt de substantiële boete aan Sony op omdat dat bedrijf volgens de overheidsinstantie inbreuk gemaakt heeft op de Data Protection Act-wetgeving. Volgens David Smith, hoofd van de ICO, had de hack van het PSN-netwerk voorkomen kunnen worden als de software op de servers up-to-date was geweest.

Volgens de ICO had Sony de kennis en de middelen om de uitgelekte, privacygevoelige gegevens afdoende te beveiligen, maar is dit niet gebeurd. Naast het niet up-to-date houden van de serversoftware van het PSN-netwerk, bleken ook de wachtwoorden van de accounts op het netwerk niet voldoende versleuteld te zijn. Twee weken voor de hack werd het team dat verantwoordelijk was voor de beveiliging van het netwerk ontslagen.

Kwaadwillenden hadden zichzelf in april 2011 via een cloudserver van Amazon en een kwetsbaarheid in de serversoftware van Sony toegang verschaft tot het PSN-netwerk. Daarbij maakten de hackers onder meer de naw-gegevens en inloggegevens van 77 miljoen gebruikers buit, evenals ongeveer 10 miljoen creditcardnummers.

Reacties (46)

Reactiefilter:-146046+128+22+30
Moderatie-faq Wijzig weergave
Twee weken voor de hack werd het team dat verantwoordelijk was voor de beveiliging van het netwerk ontslagen.
Ben ik nu de enige die een verband zie tussen het ontslag van een voltallig security team en twee weken later een hack van het systeem waarvoor zij verantwoordelijk waren, waarmee dan ook nog eens een hoop geld verdiend kan worden :9
Ik denk dat in veel gevallen het heel moeilijk is om vast te stellen of er van verwijtbaarheid sprake is. Als je eerst een team ontslaat, dan ligt dat wellicht duidelijker, dan dat iets aan de aandacht van iedereen ontsnapt (waar gewerkt wordt, worden fouten gemaakt). Vermoedelijk zal het een hele kluif zijn om verwijtbaarheid te bewijzen.

Overigens speelt bij beveiliging ook altijd tegen welke prijs je wilt beveiligen. Een mooi voorbeeld is de OV kaart, waar om financiele redenen een (naar achteraf bleek) te simpele beveiligingscheck. Iedere softwarebouwer maakt een afweging tussen prijs en kwaliteit. En iets als gebruiksgemak is ook vaak lastiger te combineren met optimaal beveiligen.

Al met al: de boete is vrij laag, maar nuancering in dit verhaal is toch wel op z'n plek. De boete moet niet politiek gedreven zijn, louter om te scoren bij de kiezers.
Gewoon boete voor dit soort dingen. Komt er wat geld in de staatskas en leren ze het misschien eindelijk af zo met gevoelige gegevens en beveiliging om te gaan. Twee vliegen in een klap, mogen ze van mij vaker doen.
Dat mogen ze ook wel eens hier in Nederland doen, vooral bij de gote webshops en grote bedrijven etc die zo lek zijn als een mandje
Zouden andere landen nu ook een boete kunnen opleggen?
Anders vind ik 2.5 ton maar een lage straf
Twee weken voor de hack werd het team dat verantwoordelijk was voor de beveiliging van het netwerk ontslagen.

Ik zou het dan toch in die hoek gaan zoeken, want het is gewoonweg te toevallig aangezien de lekken wel op plekken zaten waarvan je moest weten dat ze er waren..
Dat hoeft niet persé, als er 1 lek wordt gevonden toevallig kort na het ontslag van beveiligingsmedewerkers, en dit lek universeel is tussen de Sonydiensten (in plaats van vele verschillende soorten lekken, zoals jij suggereert), is het zeer eenvoudig om alle plekken aan te vallen.

Ja, het is toevallig, maar er zijn genoeg alternatieve verklaringen. Zonder de feiten kunnen we hier niet over oordelen.
Als we spreken over 'het had voorkomen kunnen worden' dan is dit natuurlijk meer dan terecht. Dat hier een boete op kan komen te staan vind ik wel ietwat vreemd. Zo zou onze overheid inmiddels al 50 boetes aan de broek moeten hebben als we ook een dergelijke regelgeving hadden.

[Reactie gewijzigd door DeathMaster op 24 januari 2013 11:31]

Dat hier een boete op kan komen te staan vind ik wel ietwat vreemd
Dat is helemaal niet raar, als jij als bedrijf een hele lading (gevoelige) klantgegevens verzamelt, dan mogen jouw klanten ervanuit gaan dat jij je uiterste best doet om die gegevens prive te houden en alleen daarvoor te gebruiken waarvoor nodig. Wanneer er niet gestraft wordt, waarom zou je dan (zeker als groot bedrijf) moeite doen om het te beschermen, kost toch alleen maar resources.
Zo zou onze overheid inmiddels al 50 boetes aan de broek moeten hebben als we ook een dergelijke regelgeving hadden
Meer dan dat, ze faciliteren (en verplichten) IMHO zelfs een systeem wat het makkelijk maakt voor anderen daar misbruik van te maken en stellen de burger daarvoor verantwoordelijk (voorbeeld: paspoort, vingerafdruk, BSN). Laat voor op staan dat ik een van de eerste ben, die vindt dat de overheid moet worden aangepakt en bestraft (zeker de verantwoordelijken daarvoor), maar dat zie ik nog niet zo snel gebeuren, aangezien wij geen trias politica hebben en er wel vaker de overheid met twee maten meet.

Dat neemt echter niet weg dat anderen (zoals bedrijven) dan ook maar niet gestraft hoeven te worden of hen te onstlaan van enige vorm van verantwoordelijkheid, dan is het hek helemaal van de dam. Dat is een argumentatie van het kaliber "maar hij doet het ook".
Ah ja. Inbreken is altijd mogelijk, dus vind je het vast niet erg als de bank jouw geld op straat gooit.

Daar zitten natuurlijk gradaties in. Als iemand met een goede voorbereiding en een combinatie van technische kennis en social engineering ergens weet in te breken zal men dat vaak niet kwalijk nemen. Als iemand door een URL te veranderen of een SQL-injectie te doen al persoonlijke gegevens en creditcardgegevens kan krijgen, dan is dat grove nalatigheid van de beheerder daarvan.

Als mensen jouw informatie zomaar mogen hebben "omdat alles toch wel te hacken valt" dan is het slecht gesteld met je gevoel voor privacy. Met creditcardgegevens en naw-gegevens kan flinke fraude gepleegd worden, met alle problemen voor de sony-klanten van dien.

[Reactie gewijzigd door bwerg op 24 januari 2013 13:05]

Dus Sony krijgt een boete voor het hacken van hun eigen systeem?

In theorie valt alles te hacken dus dan moet iedereen maar een boete krijgen omdat je overal bij komt met de nodige moeite.
Wellicht moet je het stuk nog eens lezen. Sony is in deze duidelijk verwijtbaar:
- Updates werden niet gedaan
- Wachtwoorden waren niet beveiligd
- Beveiligings team is ontslagen

Het gaat hier dus niet over domme pech, het gaat hier over verwijtbaarheid.
Nee, ze hadden de verantwoordelijkheid de persoonsgegevens/creditcardgegevens van hun klanten te beschermen. Als je die gegevens wilt, dan moet je ook bereid zijn om die veilig op te bergen. Ze zijn er te onvoorzichtig mee omgegaan en daarom krijgen ze een boete.
Nee Sony krijgt een boete omdat het voorkomen had kunnen worden als de software up-to-date was geweest. En de opgeslagen privacy gevoelige data was niet goed geencrypt, de passwords bleken te achterhalen.


En dan vind ik 250K pond nog een erg laag bedrag.
En dan vind ik 250K pond nog een erg laag bedrag.
250.000 pond / 77.000.000 gehackte accounts = 0,003 pond / gehackte account.
Zelfs als je enkel kijkt naar buitgemaakte creditcardgegevens kom je nog niet verder dan 250.000 / 10.000.000 = 0,025 pond / cc.
Dat vind ik inderdaad, zeker voor een miljardenbedrijf als Sony, belachelijk laag.
De boete is opgelegd door de britten.
Als ieder land soort gelijke maatregel neemt dan wordt het toch een hoog bedrag.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True