索尼上周没有来的国会听证会上违反其庞大的数据,认为影响超过1亿个游戏玩家。但这并不能阻止代表玛丽诺马克躺进了公司,连同ε,营销公司,经历过类似的违反几周。
“我深感困扰这些最新数据泄露和ε和索尼决定今天不作证。这是不可接受的,”麦克说,他是加州的共和党人,她的开场白。“最重要的一个问题就是:为什么没有索尼的客户提前通知网络攻击呢?”
索尼对客户说,他们的个人信息被盗的违反其PlayStation网络4月26日,弄清楚后大约一个星期,它遭受黑客的攻击。对于很多玩家来说,虽然这可能不够快速,刻薄的,因为他们的在线游戏服务已经被拉——这是一个快速的通知,特别是对于违反这个大小,根据许多数据破坏和安全专家。
反应“我惊呆了,那人说几天太长了,“说”异议,“匿名的运营商Databreaches.net网站,密切跟踪的数据泄露。“一年前,如果有人通知你在不到两个月,这被认为是非常快。我认为现在公众的期望,他们会立刻通知。”
4月下旬,似乎索尼可以什么都不做。批评行动迟缓,公司发布的信息违反之前完全意识到它已经妥协。然后,它必须接受一系列的尴尬的修正。它发现一个网络,索尼在线娱乐,也被黑客入侵,然后不得不承认银行卡号确实被偷了,相反其先前的评估。
事实上,它是常见的企业学习,违反比最初想象的更为严重。这是发生了什么是安全专家和法医调查进展。索尼刚刚不幸的调查审核,李罗伯说,计算机取证教练SANS研究所。“他们的故事改变实际上是很正常的,”他说。“事实上,这是公众使它不正常。”
例如,谷歌等在上市前一个月与2009年12月网络攻击的细节。这给了该公司的时间算出事件的严重程度在让公众监督。
索尼最大的错误是混淆其客户通过公共信息之前准备好,和存储,加密的财务数据属于成千上万的用户,贝丝吉文斯说隐私权清算所。但比这更糟得多的漏洞更受关注,吉文斯说。
例如,在卫生保健服务提供者卫生3月净损失医疗数据,社会安全号码和财务信息属于190万的客户。社会安全号码,身份窃贼可能严重破坏的生活健康网的客户——索尼说,绝大多数的受害者几乎没有超过他们的名字和电子邮件地址被盗。
虽然鲜有报道的健康净违反纽约时报呼吁索尼提供信贷监控服务称为安全冻结1.02亿年影响客户。安全冻结会阻止ID小偷开设新账户,但它“毫无意义”在索尼的情况下,吉文斯说。这是因为罪犯不能与索尼数据建立假的财务帐目。“在索尼的情况下,社会安全号码都安然无恙。这是信用卡和借记卡号码,”她说。“安全冻结是多余。”
不过,索尼的教训违反可能是客户已经厌倦了公司不重视他们的隐私,并期待尽快被告知数据泄露。
“这是我们的方向,”皮特Schlampp说,与Solera网络产品管理副总裁,一个卖家的网络安全工具。“公众的期望是立即通知。”
罗伯特·麦克米兰涵盖了计算机安全和通用技术新闻IDG新闻服务。在Twitter上关注罗伯特@bobmcmillan。罗伯特的电子邮件地址robert_mcmillan@idg.com