Rechter: gehackt Sony beloofde nooit perfecte security

Een Amerikaanse rechter wijst een groepsaanklacht tegen Sony af over de grote inbraak bij het PlayStation Network. Daarbij zijn privégegevens en creditcardnummers van miljoenen klanten gestolen.
.
De collectieve rechtszaak (een zogeheten class action suit) werd in juni vorig jaar aangespannen, en wordt gevoerd voor alle mogelijke benadeelden. Rechter Anthony Battaglia van het districtshof in Zuid-Californië wijst de aanklacht nu af. Zijn reden daarvoor is dat Sony nooit perfecte beveiliging heeft beloofd aan gebruikers van het PlayStation Network (PSN).

'Redelijke maatregelen'
Daarom kunnen PSN-klanten het bedrijf niet aanklagen voor gebrekkige bescherming en de diefstal van hun persoonlijke data en creditcard- of bankgegevens. Sony heeft slechts beloofd 'redelijke maatregelen' te treffen, meldt de Britse ict-nieuwssite The Register. Die toezegging doet het Japanse bedrijf, en zijn Amerikaanse divisie, in de gebruiksvoorwaarden voor PSN.

Diezelfde voorwaarden zijn na de grootschalige inbraak nog aangepast. Sinds 15 september vorig jaar moeten PSN-gebruikers akkoord gaan met de verplichte bepaling dat zij Sony vrijwaren van collectieve rechtszaken. Niet akkoord gaan met die clausule is niet akkoord gaan met de PSN-voorwaarden en betekent dat ze Sony's online-dienst niet kunnen gebruiken.

Ingebroken via oud lek
De Amerikaanse rechter oordeelt (PDF) nu dat het bedrijf ook niet kan beloven dat klanten veilig zijn voor inbraak. "Er bestaat niet zoiets als perfecte security", merkt de rechter op. Eerder heeft Sony's cio wel opgebiecht dat de diepgaande hack is gepleegd via een publiekelijk bekend beveiligingsgat in de gebruikte webapplicatieserver.

De hackers hebben eigen software uitgevoerd op de applicatieserver, die achter de eigenlijke webserver en twee firewalls staat, verklaarde Sony in mei vorig jaar. De aanvankelijke aanval was vermomd als een aanschaf van content op PSN. Daardoor sloegen de securitysystemen van Sony geen alarm.

Sony wist van niets
Via de kwetsbaarheid in de applicatieserver is software geïnjecteerd die zich toegang heeft verschaft tot de databaseserver. "Het was een erg geavanceerde techniek die gebruikt is om toegang te krijgen tot onze systemen", zei de Sony-cio. Hij biechtte daarbij ook op dat Sony zelf niet op de hoogte was van de kwetsbaarheid.

Wat de Amerikaanse rechtszaak betreft, is de afwijzing door de rechter niet het eindpunt. De advocaten van gedupeerden kunnen nog wel hun aanklacht aanpassen, om Sony op andere gronden voor de rechter te slepen. De juristen hebben tot 9 november de tijd gekregen om hierover een besluit te nemen.