立即打开
世纪黑客事件内幕

世纪黑客事件内幕

Peter Elkind 2015-08-31
一场网络入侵让索尼影业公司屈服, 也吓坏了美国企业界。 请看此次事件的真相。本文还会告诉你, 为什么索尼本该预见它的发生

    “我不会投资1,000万美元去避免100万美元的可能损失。”

    在平井做出承诺后,索尼影业公司到底采取了什么新的安全措施,无从知晓。公司拒绝提供实例。但令人痛苦的明确事实是,无论采用什么手段,都是不够的。

    比如,它的电子邮件系统就没有采用双重认证这种基本的保护措施,而很多公司已经使用多年了。这种保护要求邮箱登陆者使用双重认证—例如个人密码和在手机或钥链式电子存储器上随机生成的一次性密码,这会大大提高黑客窃取用户身份的难度。

    松懈的电子邮件系统在索尼并不是新鲜事物。2007年,一份IT专业人士的行业出版物《技术总监》(CIO)上有一篇名为“良好的合规指南”(Your Guide to Good-Enough Compliance)的文章,索尼的网络安全主管斯帕尔特罗对作者说,有一位审计人员,依据《萨班斯—奥克斯利法案》(Sarbanes-Oxley Act)对保护个人信息的要求,警告他索尼存在多重安全弱点,包括松懈的密码程序。审计人员对他说:“如果你们是一家银行,肯定会破产。”按照《技术总监》杂志的描述,斯帕尔特罗劝那位审计人员不要过分强调这一不足,他辩称:“如果非要让我的人记住这些复杂的密码,他们极有可能把密码写在胶纸上,然后再贴在电脑的显示器上。这又能有多安全?”

    斯帕尔特罗似乎更加关心成本而不是风险。他对《技术总监》杂志说:“试图面面俱到会让我们破产。我不会投资1,000万美元去避免100万美元的可能损失。”他又解释说:“接受风险是正当的商业决策。”尽管斯帕尔特罗是在8年前做这番表述的,当时索尼还没有成为黑客轮番攻击的知名目标(他还称“索尼在很多领域内极为合规”),但是没有迹象表明,公司的态度有过变化。

    公司大面积存在松懈问题。它的电子邮件保留政策允许服务器上保存长达7年的旧信息,没有加密,随时可以调取。公司差不多是用电子邮件来长期存放商业记录、合同和文件,以供应对诉讼之用。2014年秋天,索尼宣布,计划将所存放邮件的时间长度降至两年,结果在公司内部引发了强烈的抗议。外泄的电子邮件显示,这么做的原因并不是黑客风险,而是为了让系统运行得更快。

    一大批的敏感信息,包括IT管理人员的用户名和密码,都被保存在没有保护的表格和Word文档中,起的都是“计算机密码”之类的名字。索尼的IT团队在它的网络内难以跟踪包括30个数据中心在内的所有硬件设备。在被破解的文件中,有一份是普华永道(PricewaterhouseCoopers)在2014年9月的审计报告。该文件显示,2013年秋天,公司将安全监控由一家外部供应商移交给本公司的一个团队,结果造成一座防火墙、148台路由器、交换机和网页服务器连续数月无人看管。报告还强调:“这可能造成公司无法及时发现或解决影响到这些网络和基础设施的安全事故。”根据这份审计报告,在长达10个月的时间里,公司的团队向公司报告了193起安全“事故”。

    2014年8月,受聘加强索尼公司防护的高管赖廷格辞去了全球首席信息安全官的工作。索尼的一位发言人说,他的离职“规划已久,并不意外”。当时的电子邮件描述的情况却不一样。索尼影业公司的首席律师韦尔写信给安全主管斯帕尔特罗:“你感到意外吗?” 斯帕尔特罗回复道:“是的。”

    在政府供职期间,赖廷格呼吁加强网络安全。他拒绝了采访请求。但是,他在这一领域内的很多崇拜者认为,他在索尼之所以成绩不大,是因为缺少足够的权力(公司不同意这种说法)以及东京方面不够重视。他们说,即便在今天,一名美国人也很难在索尼的东京总部产生重要的影响。网络专家刘易斯说:“他觉得有一点失望。”

    “我们赚的钱还是不够。”

    大索尼的苦痛日益加剧。2014年5月,平井一夫透露,他和其他40位高管们将放弃年度奖金。此前,他已经宣布,公司预计在截止到2015年3月的财年将会出现4.89亿美元的亏损。(林顿写信给索尼的首席执行官,提出放弃本人的奖金,“以示团结”。平井回绝了他的请求,这让他颇感欣慰。在给朋友的一封电子邮件中,林顿得意地说:“他给我奖金了,我赌成功了。”)2014年9月,公司大幅向下修正预期。目前,它预亏21亿美元。

    林顿也感到了压力。去年10月3日,他在给帕斯卡尔的电子邮件中说:“我们差不多就是一家上市公司,已经对索尼和华尔街做出了未来三年的业绩承诺。我可不想陷进这个处境,但是我们摊上这些事情了,落到了现在的地步。所以,我们必须把基础打牢,有了一定的业绩,才能够决定采取什么样的冒险行动……我下周要去索尼那里,承诺一些大事情,我们必须做到……我说这些话,只是想让你了解,我承受的巨大压力,还有我现在为什么不是很有耐心。”5天后,他与平井一夫在纽约开预算会议,又给帕斯卡尔发了一封电子邮件:“会面相当不愉快……我们赚的钱还是不够……管理费用太高。卖座的产品不够多。”

    这些电子邮件显示,林顿正在经历艰难时期。他在9月对一位朋友写道:“工作太苦。”对另外一位朋友说:“我一个月没读过一部剧本……我遇到了不能解释的奇怪阻碍。”他的个人投资项目似乎能够让他更加激动一些,其中包括Snapchat公司(他和妻子为Snapchat提供了种子资金,林顿还担任了它的董事)和一个设备研发计划。该产品类似于测酒仪,用于检测是否吸食了大麻。电子邮件显示,他曾经向亿万富豪陈颂雄博士(Dr. Patrick Soon-Shiong)推介“这个商业创意”,希望为它申请专利。(索尼的发言人表示:“迈克尔·林顿在这些外部事物上只花了极少的时间。”)

    林顿还在和慢性失眠和严重背疾作斗争,最近又受到了加州一连串税务审计的困扰。(索尼的发言人劳森说:“你从那些失窃的电子邮件中得出的有关于林顿病情或个人税务的任何臆测,与工作压力之间完全没有关系。”)林顿还瞒着索尼的所有人,计划举家搬回纽约。

    10月21日,索尼终于迎来了一些好消息。在经历一波上升行情后,勒布卖掉了手中的索尼股票,收益将近20%。他一连几个月仍然保持友好的态度,前往卡弗尔城,和林顿及其他高管们共进私人午餐,与塞利格曼一起吃晚饭,并表示希望平井一夫夏天在夏威夷度假愉快。在公开场合,索尼仍然像对待一位受尊重的投资者那样对待勒布,说他给予公司有益的“关怀”。但在他退出后,公司出现了毫不掩饰的喜悦之情。首席财务官戴维·亨得勒(David Hendler)说:“敬大家香槟!!!”

    当林顿正在设法离去时,帕斯卡尔正在因为自己留任的新合同谈判进展缓慢而越来越焦虑。她的合同将在2015年3月到期。她向好莱坞的经纪人布莱恩·卢尔德(Bryan Lourd)抱怨说:“你知道,林顿要多粗鲁有多粗鲁,他想让我难堪,不想让我招人喜欢……你说说,我应该如何跟他打交道?读点《孙子兵法》行吗?”

    她已经和公司下属以及“愿景”顾问合作,制定一个计划,以升级公司的死气沉沉的电影制作流程。11月12日,她在给公司总裁贝尔格拉德的电子邮件中说:“我想,我在生他的气,因为这是我们的公司,在某种程度上,我仍然觉得,他们是闯入者,在破坏这家公司。这是不是很愚蠢?但我能告诉你一件事:不管怎么样,即使别人都走了,我们还会在这里。我不知道这是好是坏,但我知道,这是真的。”

热读文章
热门视频
扫描二维码下载财富APP