В суд Калифорнии поступил первый иск против Sony в связи с потерей компанией личных данных пользователей игровой сети PlayStation Network. Иск подан адвокатской конторой Rothken Law Firm, которая специализируется на коллективных исках от недовольных потребителей, сообщает Hollywood Reporter. Пока контора представляет интересы 36-летнего пользователя сети американца Кристофера Джонса, но ищет других пострадавших, чтобы превратить иск в групповой.
Размер компенсации, требуемый истцом, не указывается. Но, по оценке основателя и председателя компании Ponemon Institute Ларри Понемона, Sony в результате скандала может потерять до $1,5 млрд. В этой сумме эксперт учитывает не только выплаты по многочисленным возможным искам, но и простой сети, ежегодно приносящей компании около $500 млн дохода, а также потенциальное падение продаж консолей японской компании. Понемон считает, что любители игровых приставок переключатся с PlayStation на Xbox Live от Microsoft. На фоне скандала акции Sony уже начали падать, на этой неделе их стоимость уменьшилась более чем на 8%.
Сеть PSN перестала работать вечером 20 апреля. Администрация Sony объяснила, что сеть пришлось отключить в связи с атакой хакеров, которые все же успели получить доступ к логинам и паролям пользователей, их именам и фамилиям, почтовым и электронным адресам, а также датам их рождения.
Сумма выплат Sony вырастет, если выяснится, что взломщикам также попали в руки номера, данные срока действия кредитных карт и платежные адреса игроков,
говорит Понемон. В «актуальной информации», размещенной на сайте PlayStation Network, такое хищение пока не подтверждается, но компания не исключает такой возможности.
Хакеров, осуществивших атаку на игровую сеть, интересовали деньги, которые можно заработать на продаже персональных данных игроков, уверен специалист по безопасности G Data Software в России и СНГ Роман Карась.
«Стоимость такой информации на подпольных форумах может достигать 70 евро за одну кредитную карту и 25 евро за кредит в 50 евро в PlayStation Network»,
— объясняет эксперт. Кроме того, знание персональных данных пользователей позволит спамерам развернуть целую серию ловушек для владельцев аккаунтов, чтобы выманить из них еще больше денег. Аналитик Huffpost Tech Лари Магид прогнозирует массовую рассылку на похищенные электронные адреса так называемых фишинговых писем — ссылок на страницы, выглядящие как официальные сайты ваших игр, где мошенники просят ввести свои данные.
Утечки персональной информации могут дорого обойтись допустившей её компании, признают эксперты. «Основную сумму составляют даже не выплаты по искам потерпевших (им при отсутствии прямого ущерба в лучшем случае выплачивают суммы порядка десятков тысяч долларов), а крупные штрафы со стороны надзорных органов», — говорит аналитик компании SearchInform Роман Идов. К примеру, британское отделение страховой компании Zurich Insurance было оштрафовано на 2,3 млн фунтов стерлингов за утечку данных 46 тысяч своих клиентов. А когда в середине апреля через сеть управления финансов Техаса персональные данные 3,5 млн жителей штата попали в открытый доступ, это привело к массовым отставкам чиновников.
В России хакерские атаки, направленные на кражу персональных данных, не часты, говорит Идов: здесь средства электронных платежей пока не получили такого распространения, как на Западе. Гораздо чаще «слив» баз персональных данных происходит из государственных органов. На рынках можно купить базы ГИБДД, телефонные базы, сведения о прописке и судимостях. В 2001 году из Челябинского центра СПИДа была даже украдена база данных на всех ВИЧ-инфицированных Южного Урала. Но за это даже не штрафуют, или же дело ограничивается символическими суммами в несколько тысяч рублей, отмечает Идов.
«На компенсацию по судебным искам россиянам тоже пока что рассчитывать не приходится. Большинство дел, связанных с утечкой персональных данных, даже если они доходили до суда, прекращались в связи с отсутствием состава правонарушения»,
— добавляет эксперт. При этом игроки и пользователи интернет-сервисов беззащитны перед крупными атаками на сайты, признаёт Карась. Поэтому перед размещением любой персональной информации в сети стоит продумать, может ли она впоследствии быть использована против пользователя. В частности, при регистрации на каких-либо сайтах следует вводить информацию только в графы, помещенные как «обязательные», а для операций в интернете по возможности использовать отдельную кредитную карту с небольшим дневным лимитом.