立即捐款

員工信息泄露:索尼放水黑客?

A A A

國際

週二 2014-12-30 泡泡

員工信息泄露:索尼放水黑客?

A A A
員工信息泄露:索尼放水黑客?

文:泡泡

索尼影業遭受黑客襲擊的事件,不僅對索尼造成了近一億美元的經濟損失(數據來自路透社),遠遠超出索尼最初的評估,而且隨著黑客組織不斷地放出的各種內部文件,其後續影響給各種「躺槍者們」一次又一次猝不及防的「驚喜」。如果要評選2014年「最腹黑」爆料者,這幫黑客絕對榜上有名。

在遭遇攻擊之後,索尼影業聘請 了FireEye 信息安保公司介入,之後FBI也開始介入調查。FBI曾在12月19日指控朝鮮是黑客事件的始作俑者,盡管美國官員還在調查朝鮮是否獲得外部承包商的幫助, FBI仍堅持其此前聲明。在受到黑客威脅之後,索尼影業放棄了《刺殺金正恩》的上映計劃,改為採取大規模網絡銷售方式,根據索尼公司的數據,該片在12月28日放出後「網絡票房」總額已經達到1500萬美元。

除此之外,很多媒體對於黑客放出的文件事無巨細地做了報道,這一做法引起了索尼公司和一些媒體界人士的不滿,編劇Aaron Sorki在紐約時報的報道中憤怒地譴責了媒體的做法,他認為這起事件是迄今為止規模最大的企業數據泄露事件之一,而媒體在這件事情上無疑是火上澆油,充當了一次黑客組織的跑腿。

索尼威脅推特封鎖傳播泄露文件的賬戶

索尼對媒體不停曝光公司被黑信息的做法一度忍無可忍,發表聲明告誡包括紐約時報, Re/code,Gawker等多家媒體停止在報道中曝光被黑客竊取的文件,否則公司將采取法律措施阻止他們繼續散布「和平衛士」黑客組織泄露的信息。近日索尼向Twitter也發出了警告,要求他們封殺那些泄露信息者的賬號,並向Twitter追究因為使用或持續散播被盜信息而產生的破壞或損失。而在此前,首次放出索尼被黑信息的社交網站Reddit已經采取行動封殺了一批揭露被盜信息的用戶。

索尼被黑事件回顧

2014年11月末,索尼影業的員工們提前一個月收到了一份特別的「聖誕禮物」。工作的電腦桌面被換成了一幅驚悚的骷髏頭像,一幫自稱「和平衛士」的黑客組織威脅稱他們將要把竊取的索尼內部資料公諸於世。這次黑色滾雪球事件從此拉開了帷幕,變得一發不可收拾。這幫黑客組織在公開索尼各種內部文件和商業機密上絕對又狠又準。上萬名員工的信用卡信息和社保號碼流出、《龍虎少年隊》(22 Jump Street)和《黑衣人》(Men In Black 4)合作計劃被泄密、《刺殺金正恩》(The Interview)的主演詹姆斯-弗蘭克(James Franco)的片酬被公開、主打作《安妮》上映前被放到網上供免費下載。更可怕的是,連員工之間的郵件通信都被公開,就連索尼女總裁艾米-帕斯卡和制片人斯考特-魯丁都沒能逃脫這場噩夢。曝光的郵件內容包含了大量瑣碎而私密的信息:同事之間相互在背後說彼此的壞話,當事人對公眾人物的冷嘲熱諷,話語間透漏出的種族歧視…… 根據科技網站Gizmodo主編Brian Barrett的評論,這些要命的信息簡直就是一部「電子版鬼書(A digital Babadook)」,給我們上演了一場好萊塢明爭暗鬥的狗血劇。

這些噩夢的制造者似乎是襲擊索尼的黑客,然而被害員工們可並不這麽認為,他們認為自己的大東家在這件事情上要承擔很大的責任,其中兩位受害的員工克裏斯蒂娜和邁克爾向法院提起訴訟,指控索尼沒有採取足夠的預防措施來保護員工的工作設備

公司怠慢信息安保

索尼在保護員工的私人信息和企業內部文件的問題上,想必讓黑客們哭笑不得。一位索尼的前任雇員披露,他們曾多次向管理層報告了公司系統的安全隱患,但是都被無視了。「索尼的信息安保團隊簡直就是個笑話」,這位前任雇員說,泄露文件的名單上有差不多7,000個員工,然而保護這些員工信息的工作團隊卻只有11個人。「或許安全團隊的人數不一定要很多,但是一定要足夠值得信任,並且要有很高的專業技能」,泡泡的技術人員說道,「那些能入侵公司網絡的黑客都是非常厲害的」。

更可笑的是,索尼把員工登陸YouTube的用戶名和密碼直接保存在了一個叫「用戶名與登陸密碼」的文件夾裏。泡泡的信息安全人員對此感到十分驚訝,「刻意隱藏文件內容應該是每一個信息安保工作者的基本常識,就連普通人都知道要把密碼儲存在一個叫類似於「菜單」之類的文件中,而且類似於這樣的文件本身就需要加密,就算不能完全避免被黑客破解,但是最起碼能讓事情變得沒那麽簡單。」

根據Re/code上的一篇報道,索尼在遭受黑客襲擊之前,就已經意識到其企業網絡的安全漏洞,但最終還是選擇無視這些安全風險。黑客泄露出來的一封郵件顯示,索尼影業總顧問Leah Weil曾建議索尼加強他們的企業網絡,可是從後來發生的事情來看,索尼並沒有把這個安全建議提上日程。對索尼的企業網絡進行安全檢查的工作人員也披露,索尼沒有及時將他們新增加的設備,例如網絡服務器和路由器交予安全部門做例行檢查。索尼信息安全總監Jason Spaltro在一次采訪中提出,接受安全漏洞的風險是一個正當的經營決策。「我不會為了避免可能出現的 100 萬美元損失而投入 1000 萬美元。」安檢人員警告過Spaltro索尼公司的一些安全隱患,包括最基本的員工登陸密碼設置。「登陸密碼應該是一系列字母字符和數字的隨機組合,而索尼的員工們所使用的密碼只是一個單詞而已」。

事實上,索尼並不是第一次遭到這樣毀滅性的黑客襲擊。2011年索尼Playstation遭到過PSN的襲擊,損失高達一億七千萬美元,伴隨著巨額經濟損失的同樣是可怕的數據泄露,據報道2011年的黑客事件可能暴露了Playstation 近7億玩家的用戶信息 ,包括他們的登錄名、出生日期、郵箱地址、和信用卡賬號。

「這讓人很不解,像索尼這樣的大公司在安保問題上不願意加大投入」,泡泡的技術安全人員說道,「這絕對不能用金錢和利益來衡量孰輕孰重,妥善的保護員工信息是公司的基本職責。」當然,保護員工信息安全不止是公司的責任,員工也要有強烈的自我保護意識,定期接受安全檢查,清空上網痕跡,學習類似於PGP等郵件加密技術。

這也許是索尼事件中唯一的積極效應:提醒各大公司要重視企業網絡安全問題,一旦被黑客入侵,所引發的的連鎖效應會像滾雪球一樣愈演愈烈。當然對於員工而言,「如果你不想日後因為所發過的郵件陷入尷尬的境地,最好時刻都意識到你在說什麽」 ,Brian Barrett說道,「要假設沒有絕對的隱私,至少是在電腦屏幕前是這樣」。

電影索尼刺殺金正恩