Sony這一年真是流年不利:東日本大地震的損失還可算是天災,而福島核災難帶來的停電而減產也算是天災之一,但被黑客入侵盗取7700萬個用家資料就是人禍了。
家用遊戲史上最大的災難
2011年4月27日,Sony在官方網頁發表一篇通告:
『親愛的PlayStation®Network用戶:
我們發現在2011年4月17至19日,部份PlayStation®Network用戶的帳戶資料在一次非法及未經授權的網路入侵中被洩露。對於是次入侵,我們已
1:暫時停止PlayStation®Network服務
2:委託認可的外部網路保安公司對事件進行全面調查
3:透過重建系統,迅速提升保安及加強網路基建,為您的個人資料提供更大的保障
我們衷心感謝您的耐性、諒解及信任。我們正設法迅速和有效地以可行的方法解決這些問題。
雖然我們仍然在調查事件的詳情,但我們相信一名未獲授權人士已取得您提供的個人資料,包括姓名、地址(城市、州、郵遞區號)、國家、電郵地址、出生日期、PlayStation®Network密碼、登入名稱及PSN在線名稱。您的帳戶資料包括購買履歷、帳單郵寄地址(城市、州、郵遞區號)及密碼保安答案可能已經洩露。如您為您的子女或監護兒童開立子帳號,您的子女或監護兒童的相同資料亦可能已經洩露。雖然現時尚無證據顯示信用卡資料被外洩,但我們亦不能排除有關可能。如您已透過PlayStation®Network提供信用卡資料,基於審慎處理的前提下,我們建議您留意您的信用卡號碼(保安碼除外)及到期日亦可能已經洩露。...(下略)』
怎樣?和東京電力的公關相比如何?那個比較爛?
對,二者不能相比,一邊是核災難,另一邊是七千多萬人的資料被盗取,但如果論在該領域上影響的程度卻絕對不相上下,想想包括筆者在內的全球七千多萬個用家的資料已可能流入不法之徒手上,有可能是賣到廣告公司讓他們打電話騷擾你,也可能寄出傳銷單張,又或者只是用來統計遊戲玩家的全球分佈等等,這都是可以賣到大錢的。但這已經算好了,反正港鐵還不是公然將我們的資料拿去賣?而且代價還只是易賞錢那一丁點東西哩!(所以筆者很早之前就不再用易賞錢了,買數千元東西換回來數十元的小食?連百份之一也沒有真是開玩笑)但更危險是很多用家都會將信用咭資料輸入PSN以方便購買遊戲附加版圖、道具之類,又或者月費等等,一個不好那東西就全送到假咭集團每張五元賣出去了,這還不夠大災難嗎?
雖然同類事件不是第一次,更誇張的之前也�試過如Heartland的一億宗交易的資料,而如果肯定這次連信用咭資料亦被盗(如果黑客可以取得用家個人資料,那實在沒理由拿不到信用咭資料),那就是近年第二大的黑客入侵事件了。比喻的話Heartland是切爾諾貝爾,那PSN就是福島。
巨大的用家資料庫
其實比起大量的資料外洩,用家無法連上PSN和買遊戲這些影響跟本不值一提:玩�少半個月遊戲會死嗎?不玩PSN就玩Xbox Live吧!再不然就是電腦遊戲,一個網路停個半個月以上也沒有什麼大不了,因為影響的只是短期。真正的大問題是那些資料不知流到哪裡,你可能得背負著這種陰影:某天突然收到一張要你付數千美元的信用咭帳單,而看後才知在兩天前你竟然在巴西買了一架車和在開羅買了兩條金條。雖然這種說法是很危言聳聽,而且機率其實很低,但如果六合彩也常常有人中的話,誰保證你不會是下一位「幸運兒」?而且情況其實比Heartland更嚴重,因為那最多只是信用咭交易,但現在是連用家的姓名地址電郵還有消費習慣也一拼流出去了,換一個角度來說其實這次的問題更嚴重,影響也更深遠。
其實這次的意外以正面的角度來看,就是得重新審視現在的遊戲服務要輸入個人資料的問題。
以前的MMORPG,用家不一定需要輸入信用咭資料以及個人資料,只要去便利店買一張點數咭,在遊戲時輸入就可以在時限內玩個痛快,也不需要輸入用家的個人資料,遊戲公司並不會知道用家的姓名,地址等私人資料,甚至只要能輸入點數咭,即使是你家的貓玩WoW都沒問題。但PSN又或者Xbox Live就不同了,這些網路要用家開一個戶口,輸入用家的個人資料,如果你�要下載付費內容還得要輸入信用咭資料,那一個其實只是用來娛樂的戶口就已經記錄了你一大堆很重要的私人資料了。很多網上商店也會記錄個人資料,像iTunes Store、amazon都是這類,而相同地這些店也就�會有著相同的風險,用家輸入這些資料就有可能某天被盗取甚至是該公司將你的資料賣給廣告公司等再賺一筆。不過一般情況下這類網頁都會寫明不會將用家的資料交給第三者,以確保用家的私隱安全,但是真是假卻沒人知,你總不成問打電話說要借你錢的人說「你是從那間公司的資料中找到我的資料的?」
有必要輸入個人資料嗎?
其實想想這是很奇怪的事:PSN又或者Xbox Live既不會寄實際物品給你,為什麼就要用家輸入實際地址和個人資料?理論上那些資料是真是假只有用家一個人知道,即使是假的其實也不會有什麼影響,因為你忘了密碼的話也不會要求寫出地址又或者用家姓名等資料才可以重設密碼,而下載遊戲又或者使用服務需要的也只是信用咭資料,但包括很多公司在內你入會就得輸入個人資料。如果是對方付你錢的話這也算是,但現在是付錢給對方還得要個人資料?這也是很奇怪的事。比起來Amazon需要的只是一個可以收到貨的地址,並不需要你再輸入其他不必要的資料,那即使出亂子就只有信用咭資料和收件地址、購物紀錄而已。雖然已經相當大問題但那是不得不冒的風險,本來在網路購物就會有這種危險性存在,這也是很多人不願意作網上購物的理由。
但,為什麼開一個PSN戶口來下載試玩版遊戲也要用家輸入個人資料?
一如為什麼易賞錢要用家輸入個人資料一樣,其實很多時候他們跟本沒有理由要我們乖乖的奉上姓名地址婚姻狀況的,但就是要你填,讓應該是很重要的個人資料被收到各大電腦資料庫中,然後讓他們統計分析並作出市場決策。這本來也沒有什麼不好,世上沒有免費午餐,提供一些個人資料來換取免費的服務也算是可以接受的限度。不過更多的是要付錢的就有點兒那個了﹣收了你的錢,還要取得你的資料,但他們怎樣用沒有人知道!真的只是公司內部研究?不會賣給第三者?沒錯所有這類服務在申請前都會有一個法律條文讓你看,你按同意才可以使用,那就不能說是不知情下將自己的情報賣出去,對吧?
但各位請問一下自己:真的有細心看過那一大堆又長又臭而且還要有看沒有懂的火星文般的法律條文?像你安裝軟件會彈出一堆法律條文,但你會看嗎?收到信用咭時會附一堆放大鏡也看不到的細微字法律文件?有看過嗎?那種字體和寫得那麼難於理解,跟本就是要你怕麻煩不看吧!九成以上的人都不會看那些東西,結果被賣了就一句「白紙黑紙寫上去,不看是你不對」,結果被賣的人就無言了。
所以與其爭辯那些狗屁條文刻意搞到沒有人想看的問題, 還不如直接地問:為什麼用家得要提供個人情報給其實沒有需要的公司?
究竟可不可以集體追討?
關於私隱和法律問題由於太過博大精深兼又長又臭,筆者這種門外漢當然沒有資格去評論,而只是以一個什麼都不懂的人的角度來發出疑問。
不過比起這些那麼重要但沒有迫切需要的問題,現在作為同樣是PSN的用家,也同樣輸入了個人資料甚至信用咭資料的用家,得先要問一問:這幾天被入侵、以及之後服務暫停和心理陰影而帶來的有形和無形的損失,Sony該怎樣賠償?人家東電可是每家人發放一百萬日元安家費,那Sony每人送數十美元下載費也很合理吧?搞出這麼大的亂子一封通告就想了事也未免太便宜了吧?欺負PSN用家?
