Ce se poate întâmpla când constaţi că baza ta de date care conţine datele personale a 143 de milioane de oameni a fost compromisă?
Simplu: în primul rând vinzi acţiunile. Compania ta este bine cotată la bursă, sunt şanse bune să dea faliment, deci nu e cazul să pierzi bani, bani cu care poţi înfiinţa o altă companie care va beneficia şi ea de experienţa ta în domeniul securităţii datelor.
La asta m-am gândit zilele trecute, citind despre „incidentul informatic” de la Equifax.
Incidente de genul ăsta au mai fost, chiar mai mari uneori, dacă e să ne gândim la Yahoo; problema e însă că Yahoo era o companie „de jucărie” ca să zicem aşa: contul meu de la ei, pe care încă îl mai am deşi nu îl folosesc, conţine un nume şi o parolă, eventual o dată de naştere care nu mai ţin minte dacă e reală sau nu. Nu obişnuiesc să folosesc aceeaşi parolă pentru mai multe astfel de servicii nesigure, deci mai mult decât să acceseze nişte mailuri neimportante ( ţineţi minte, afacerile dubioase nu se fac pe mail) nu prea au ce să facă.
Equifax este însă de altă categorie: e un dealer de credite sau cum s-o mai numi meseria asta la noi, una din cele trei companii majore în domeniu. Baza lor de date nu conţine zile de naştere, ci numere de asigurări sociale, uneori chiar şi ale permisului de conducere, date care în general sunt folosite pentru identificarea unei persoane în SUA, ba chiar în unele cazuri şi numere de card.
Deocamdată nu am citit ceva despre publicarea acestor date şi mă îndoiesc că se va întâmpla; presupun că ele au un preţ foarte bun pe piaţa neagră, dacă nu cumva atacatorul va fi lucrat direct pentru unul dintre concurenţi, caz în care datele sunt oarecum „în siguranţă”, pentru că în definitiv nu contează cu care dintre ei lucrezi….
Lucrurile astea se întâmplă. În definitiv, când completezi un astfel de formular pe site-ul companiei, trebuie să îţi pui problema că datele ar putea fi la un moment dat compromise. Totuşi, mai ales în domeniul financiar, ne-am obişnuit ca standardele de securitate să fie destul de înalte încât incidentele să fie rare iar efectele lor limitate datorită unui răspuns prompt.
Aflăm acum însă că incidentul a fost detectat de companie în 29 iulie şi anunţat pe 8 septembrie. Aparent, intervalul nu pare să fi fost folosit pentru un răspuns adecvat ( există o multitudine de critici pe Internet din care o parte par întemeiate , inclusiv faptul că site-ul de „incident suport” nu are certificatul de securitate corect configurat, lucru care frizează penibilul – probabil între timp unele s-au mai rezolvat). Se pare că timpul a fost necesar doar pentru a permite unor persoane din conducere să se debaraseze de acţiunile deţinute.
Este greu de spus ce e de făcut în asemenea cazuri. Comunicarea cinstită şi deschisă ar fi fost de mare folos, chiar şi simplul fapt că incidentul ar fi fost cunoscut ar fi determinat de exemplu băncile să fie mai atente la identificarea persoanelor sau să reemită unele carduri. Presupun că va urma un proces, în care va fi pusă în discuţie ideea de „best effort” în asigurarea securităţii. A făcut compania tot ce trebuia pentru asigurarea securităţii datelor? Dar cum definim acest „tot ce trebuie?” . Există seturi de bune practici în materie, dar ele definesc un cadru, nu pot ajunge până la acţiuni concrete. Presupun că pe hârtie firma avea o politică de securitate, avea şi oameni angajaţi ( sau eventual o firmă externă, că e la modă) . După cum se vede, n-a funcţionat ( nu putem şti acum, poate a funcţionat, pentru că există posibilitatea să fi fost un atac intern, cauzat de o persoană care chiar avea acces legitim la date. Probabil vom afla în viitor). Poate procedurile erau proaste, poate a fost vorba de dezinteres din partea responsabililor. Vorba unui „spam” pe care îl primesc periodic, „s-au ieftinit certificările ISO”.
În orice caz, încrederea în sistemele de securitate ale companiilor va fi serios zdruncinată. Iar încrederea e un lucru gingaş, care cu greu se poate reface…
Aikido cu mintea si corpul coordonate. Invatati cum sa va relaxati si cum sa va pastrati calmul in conditii de stress. 
S-ar putea, se pare, nu stiu, n-am citit, n-am vazut, dar scriu un articol.
E încă în desfăşurare, un fel de „breaking news”; nu avem mai multe date decât pune firma la dispoziţie. Dar se pot face presupuneri pe baza unor întâmplări similare. Problema e gravă pentru că implică datele personale a peste 100 milioane de americani iar răspunsul companiei pare neprofesionist, ca să nu zic mai rău….
Asa e, e grava si e simptomatica pentru starea in care a ajuns dezvoltarea software in companiile mari din Statele Unite (firme de asigurari, retaileri, finante, banci sau chiar companii care isi cistiga piinea din software ca yahoo, cum ati si mentionat dar chiar si de ex. Google, ca sa nu mai zic Microsoft, ). Situatia e oribila si nu numai pe partea de securitate. Am niste povesti horror despre ce am vazut si trait pe viu, si ca client pe de o parte, si ca programator, pe partea cealalta vazind sursele si trebuind sa lucrez cu ele. Lucrurile au legatura cu directia in care merge societatea in general, asa cum si la noi in Romania problemele sunt interconectate. Dvs fiind specialist in IT, si scriind un articol m-as fi asteptat la o patrundere mai mare a articolului, altfel orice jurnalist nespecializat putea mentiona niste lucruri de bun simt. E bine si asa decit deloc. Numai bine.
Părerea mea de utilizator e că articolul dumneavoastră putea să se rezune la fraza cu incidentul ce frizează penibilul.
„e un dealer de credite…” Equifax e similar cu Centrala Riscului de Credit din Romania si e folosita pentru determinarea istoriei de credit a unei persoane fizice sau juridice de care banci, angajatori, firme de asigurare, cand vrei sa inchiriezi o locuinta,etc. Equifax e diferit in SUA si Canada si nu schimba date intre ele. Ai o istorie proasta de credit s-ar putea sa ti se ceara o dobanda mult mai mare sau sa nu ti se dea credit deloc, sa nu-ti inchirieze nimeni in zone decente, sa platesti mai mult la asigurarea pentru masina, sa nu fii angajat, etc.
Recunosc că nu am înţeles exact rolul instituţiei, dar cred că e nepotrivită compararea cu agenţia noastră, care îi înregistrează doar pe datornici şi funcţionează într-un regim centralizat. Equifax nu e singura agenţie de acest fel pe piaţa americană, e cotată la bursă şi face profit, ceea ce nu se poate spune despre cea de la noi. Din cauza asta ( şi pentru că nu mi-a fost clar de unde vine profitul – doar din analiza dosarului sau acţionează şi ca intermediar? ) am folosit formularea asta ambiguă, pentru că nu era foarte relevant pentru scopul articolului.
„… dar cred că e nepotrivită compararea cu agenţia noastră…” De aceea am si scris „similar”.
Cand vrei sa iei un credit, creditorul vede ce alte credite ai, sau cate credit card-uri ai (ai putea sa le folosesti la maxim si sa nu mai poti face fata la rata lunara), sau compania de utilitati vede ca nu mai faci fata la platile lunare si o sa decida sa-ti ceara subit o garantie, sau sa-ti scada limita de credit si/sau sa-ti mareasca dobanda, etc, etc… o nenorocire nu vine niciodata singura, nu-i asa? Banuiesc ca toate aceste cereri de acces la istoria de credit se fac contra cost sau abonament, dar ceea ce stiu cu siguranta e ca o persoana fizica poate avea access gratuit o data pe an la istoria lui/ei de credit(nu vezi scorul tau de credit) sau contra unei taxe (parca e $14.99/luna) unde poti vedea scorul tau (multe firme au insa propria lor metodologie de acordare a creditelor) si vei primii un email ori de cate ori cineva se intereseaza de istoria ta de credit. Am avut si eu un abonament gratis pe un de zile cand niste hackers au accesat site-ul unui retailer (HomeDepot) si au avut access la credit card-urile cu care clientii au facut plati. Se vad informatii despre clienti (adresa, loc de munca raportat, venit), cartile de credit, credite, de cand ai credit, ultima plata facuta, daca ai platit cu intarziere sau esti in grafic, daca creditorul si-a pierdut speranta sa-si vada banii inapoi si a vandut creditul tau, cate credite ai incercat sa iei in ultima perioada, daca ai fost declarat falit, etc. E important de retinut ca ei doar raporteaza datele si nu modifica datele obtinute. De ex daca tu contesti exactitatea unei raportari, Equifax nu poate sa o ignore. Cel mult o sa includa explicatia ta in raport si tu trebuie sa lamuresti situatia cu creditorul respectiv.
Subliniez inca o data ca istoria de credit e foarte importanta pentru o persoana in SUA/Canada.
numai bine
Mulţumesc pentru explicaţii, deocamdată n-am interacţionat cu sistemul lor financiar. Dar sper să mă îmbogăţesc în curând :)
Cele 3 mari agentii americane de credit sunt Experian, Transunion si Equifax. Ele se ocupa de evaluarea micilor afaceri si a persoanelor private. De exemplu cand cineva vrea sa cumpere o casa sau o masina pe credit, sau sa deschida o carte de credit cele 3 agentii furnizeaza celor interesati ceea ce se numeste „credit history” si „credit score”. Nu-i ca-n Romania cu 1000 de adeverinte de salariu masluite sau cu bilanturi doftoricite ale firmelor :D Evident ca cele 3 agentii ii taxeaza pentru asta pe cei ce cer informatiile. Din asta traiesc. Experianta a arata ca un credit report (arata platile la diferite credite de-a lungul timpului, insa fara informatii despre venituri si plasamente financiare) si credit scorurile lor sunt infint mai relevante decat tot soiul de adeverinte. Dezavantajul e ca petnru cineva nou venit in tara asta sau pentru un absolvent de scoala de aici in primul an e destul de dificil. Nu are nici un fel de credit history, iar credit scopre-ul e „junk”. Adica pur si simplu nu poate beneficia de imensele facilitati de credit sau de faptul ca in toata tara asta cam toate merg pe incredre. Insa chiar si ei au varianta unui „cosigner” adica cineva care garanteaza cu credit score-ul sau buna credita a noului intrat pe piata. In cazul meu a fost compania care mi-a oferit transferul la o slujba din tara asta. In cazul absolventilor de scoala, de regula parintii sunt cosigner-i
Individul in sine nu le plateste nimic. Cei ce platesc sunt cei ce cer informatiile si rapoartele. Din asta traiesc ecele 3 companii de rating, Bancile (cel putin a mea) le ofera clientilor lor posibilitatea de a obtine gratuit periodic credit report-uri si credit score-uri de la toate 3. In mod normal in afara de nume, adresa, data nasterii, SSN si datoriile sau eventualele intarzierile de plata pe care le au diferiti oameni nu exista alte infromatii. Putin probabil sa existe orice fel de informatii cu adevarat relevante. Oricine are posibilitatea de „opt out” din sistem. Personal am facut-o cu foarte mutl timp in urma, pentru ca am trecut de nivelul la care am nevoie de credite marunte, de cumparari in rate, etc.. Iar daca ma angajez in alta parte singurul lucru care-i intereseaza cu adevarat e sa le dau persmisiunea de a-mi vedea taxele pe ultimii 3-5 ani si atunci vor stii cu precizie daca am experienta profesionala pe care o clamez sau nu. Leafa nu minte. Aici nu crede nimeni povesti cu „Stii sunt genial, dar ma plateau prost mizerabilii” :P Nu pot nega ca in primii ani chestia cu credit history si credit score-ul a fost insa foarte utila si mi-a adus mie (ca oricarui alt om de buna credinta) beneficii enorme.
Apoi chiar daca sunt cumva informatii legate de cartile de credit, in SUA orice tranzactie poate fi disputata timp de intre 30 si 90 de zile. Sau mai pe romaneste, anulate. Nu trebuie sa fie neaparat o frauda. Pur si simplu produsul cumparat nu-mi mai place si vanzatorul refuza sa-l reprimeasca. Sau un serviciu anume m-a taxat peste ceea ce eu consider corect, sau serviciul a fost prost si m-am razgandesc si num mai vreu sa-l platesc. Deci eventualele fraude practic nu afecteaza clientul obisnuit. Cand au mai fost brese de securitate (la Target de exemplu, ultima mare de care imi amintesc) companiile de carti de credit si bancile au trimis preventiv rapid clientilor carduri noi.
Tehnic vorbind frauda de la Equifax inseamna ca cineva a furat niste informatii ce in mod normal puteau fi oricum cumparate. Simplificand la maximum, e ca si cum ar fi furat niste mobilier. :P Numai ca nu prea are cui sa le vanda. Nimeni nu prea le cumpara de piata neagra. In mod cert in spatele genului asta de frauda nu se afla nici unul din cei doi competitori ai Equifax. Ei au deja informatiile alea si nu cred ca ar risca un scandal monstruos daca sunt prinsi.
Nu e chiar aşa, se pare că au accesat numere de asigurări de sănatate, în unele situaţii de carduri, de permis de conducere, care după cum ştiţi se foloseşte ca act de identitate etc. Sigur, la limită se pot cumpăra toate, dar vorbim de 140 de milioane de identităţi expuse, no money can buy :)
Dar nu asta e marea „bubă”, că nici nu mă apucam să mai scriu dacă era doar atât, ci felul în care au reacţionat ( a fost un web hoster acum vreun an aici care probabil şi-a concediat adminul iar omul a şters toate site-urile şi datele clienţilor înainte de plecare; nici nu ştiu, bănuiesc că a falimentat, dar până şi ei au reacţionat mai bine…. )
„Numarul de asigurari de sanatate”, banuiesc ca e traducerea in Romana a SSN („social security number”). Asta e un fel de CNP romanesc. Cat despre permisele de conducere, nu stiu ce sa spun. Nu vad cum le-ar avea. Eu nu l-am vazut asa ceva pe nici un credit report in aproape 17 ani. Continui sa le cer periodic tocmai ca sa ma asigur ca nu m-au bagat cumva din nou in sistem :D dupa ce am iesit de acolo. In orice caz, cu multi ani in urma pe cand locuiam in Illinois, baza de date a secretarului de stat de acolo (un soi de sef al administratie publice a statului) a fost compromisa. Nu mai retin detaliile. Au schimbat cu viteza fulgerului peste un milion de permise de conducere (numar, serie, poza etc.) inclusiv pe al meu si al sotiei mele. Daca ceva de genul asta a fost compromis nu vor avea probleme sa le schimbe. La fel si cu cartile de credit.
Furtul permisului poate folosi la cumpararea ilegala de arme. Numai ca si aici e o problema. Daca vreau sa cumpar o arma (indiferent ca a fost prima sau a 16-a, luata in primavara :D ), ma duc azi la magazin, vanzatorul o pune deoparte si o pot ridica de acolo doar peste ~ o saptamana dupa ce mi-au verificat identitatea – permisul e scanat si verificat cu cel ce-l au in evidenta. Daca poza e cumva lucrata sau nu seaman cu ala din permis am 99 de sanse dintr-o suta sa dorm noaptea cu casa si masa free in gazduirea sheriff-ului local :D Motivul secundar e ca daca cumpar arma la nervi sa-i zbor creierii cuiva am totusi cateva zile sa-mi vin in fire :D
Pierderea de date a Equifax fara indoiala o chestie cel putin jenanta, iar gestionarea crizei, si mai si. Insa e foarte departe de a fi un dezastru. Probabil ca va afecta profiturile Equifax si poate chair sa o duca la ruina. Inca nu reusesc sa ma prind ce anume poate face hotul cu datele furate. Nu poate deschide carti de credit si nici credite bancare pentru ca, confirmarile lor vin pe hartie la adresa asociata persoanei in cauza. Dupa cum am zis nu poate cumpara arme. Daca vrea sa cumpere muntie e degeaba pentru ca aia se vinde la liber fara a fi necesara identificarea.
Incidentul este descris pe majoritatea site-urilor de IT în engleză, ba chiar şi pe pagina de wikipedia dedicată equifax, deci eu vă spun ce spun şi ei. ( Dacă îi spărgeam eu poate aveam mai multe amănunte dar n-am trecut de „partea întunecată a forţei” :) ). Presupun că datele despre card se pot folosi eventual la plăţi electronice cu sume mici ( cam aşa procedau celebrii „hackeri de vâlcea” dacă ştiţi de ei sau aţi auzit: consumau sume mici de pe multe carduri, tocmai ca proprietarul să nu observe. Sigur că dacă faci o plată de cateva mii de USD proprietarul o observă, cere retur ( asta e valabil şi în România, probabil termenele sunt mai strânse dar cardurile sunt aceleaşi) dar ei comandau produse de valori mici, sub 100 USD de exemplu, a durat până i-au identificat fiindcă de cele mai multe ori proprietarii nu observau. De aia nici nu prea mai livrează nimeni la noi din retailerii online, deşi cred că acum am cam ieşit din zona gri, dar cine s-a fript cu ciorbă….
Si da, cam ăsta e răspunsul corect, schimbarea respectivelor documente, reemiterea cardurilor etc. Problema e că suntem în septembrie şi de fapt nu ştim dacă trebuie schimbate toate sau care din ele, iar intruziunea a început în mai. Ori aici viteza era factorul cheie ( bine, poate autorităţile or şti mai mult, dar comunicatul lor nu menţionează nimic de autorităţi)
Ce e amuzant este că wiki de asemenea informează că „Equifax offers also fraud prevention products based on Device fingerprinting such as „FraudIQ Authenticate Device”” :)
@Mihai Badici
Poate fi si asta o explicatie cu toate ca in continuare nu prea se leaga… Un vanzator marunt are in mod cert mult mai multe carti de credit zemoase in cont decat Equifax. Daca cineva da o spargere la ###onlinestore.com are mai multe sanse sa traga tzepe cu cumparaturi mici. Equifax are card-uri in special pe cele ale altor afaceri, de exemplu companii de carti de credit, dealer-i de masini, magazine etc. Ca omul de rand nu prea are nici un motiv sa cumpere constant informatii despre bonitatea lui John Smith de peste drum. Iar afacerile probabil ca si le-au schimabat deja. Acolo sansa de a face cumparaturi marunte nedetectate e 0.
Din nou, povestea nu se prea leaga. Opinia mea personala, fara a sti mare lucru despre toata treaba asta, e ca cel mai probabil o fi vorba de un angajat sau contractor nemultumit care a vrut sa le-o traga. Daca e asa, apoi i-a iesit un spectacol de lumini a giorno :D Daca e insa intr-adevar vorba de un infractor ce incearca sa scoata parale din treaba asta il vor inhata usor.
SSN-ul NU este ca si CNP-ul romanesc. Este confidential, nu-l dai la multi in US pentru ca se pot face fraude in numele tau!
De raitingul dat de cele 3 depinde nivelul dobanzii (credit sau card credit) si limita de credit. Degeaba ai state de salarii daca credit score-ul e prost si vrei sa obtii dobanda mica sau credit mai mare. Daca vrei credit, desigur.
Pierderea datelor cardurilor este un stres, in general esti protejat. Plus pieredre de timp in cazul tranzactiilor frauduloase.
Datele din carnetul de conducere pot fi folosite la fraude, in numele tau.
Institutia ratingului este mare in US, este folosita de la inchirieri de tot felul pana la abonamente de telefon sau TV. Nu ai rating stai si iti faci unul, in timp.
HTH,
Ar fi interesant de stiut daca Equifax avea acele informatii intr-un cloud. Sau daca pur si simplu calculatoarele erau „corporatizate” pana la nivelul la care utilizatorii ajungeau sa-si schimbe parola in fiecare luna – acest lucru ducand la parole previzibile.
Faza cu certificatul https este penibila. Mai este penibil si timpul necesar anuntarii problemei – mai bine de o luna de zile, timp in care manageri ai firmei au vandut actiuni…
Deocamdată nu prea ştim mare lucru, pentru că nu avem de unde şti decât de la companie. Iar compania nu are o reacţie normală ( comunicarea şi transparenţa sunt esenţiale în asemenea cazuri, pentru că „belelele” se pot întâmpla oricui, şi atunci e esenţial să ştii că ai pe cineva care chiar se ocupă şi poţi să ai încredere). Pe net am văzut inclusiv alegaţii cum că site-ul lor care informează dacă datele tale au fost accesate sau nu dă răspunsuri la întâmpplare; deocamdată prefer să nu le cred pentru că la supărare oamenii zic multe, dar ăsta e rezultatul lipsei de comunicare în primul rând. Faptul că datele ( sau măcar un eşantion) nu au apărut încă pe net ( deşi se pare că accesul neautorizat a inceput în mai iar în iunie l-au descoperit) mă face să cred că e vorba fie de o companie concurentă fie de un „vânător de recompense” caz în care probabil nu s-au înţeles la preţ….
‘Compania ta este bine cotată la bursă, sunt şanse bune să dea faliment’…
In ce consta ‘sansa’ de a da faliment ? Sansa = probabilitate cu efect pozitiv.
Banuiesc ca va refereati la ‘probabilitatea’ de a da faliment
Saraca limba romana…
PS Stiu ca termenul (folosit alandala) este uzitat excesiv in limba romana (preluat din engleza americana unde chance = probabilitate si sansa = opportunity. Am auzit si expresii de genul ‘sansa de a muri’…sau ‘sansa de a ramane handicapat’ (sic !).
Dar asta nu e o scuza…
Mie mi se pare că sensul de „probabilitate” s-a cam generalizat, dar dacă ţineţi la sensul originar puteţi să o ciţiţi într-o notă uşor ironică….
P.S. Am verificat pe larousse.fr , şi ei nu limitează sensul la pozitiv ( „surtout heureux”) . Nici dexonline nu face asta. E drept, în DEX-ul pe care îl am eu acasă e cum ziceţi dvs, dar îmi asum dreptul de a avea rezerve faţă de el…
Cedăm din „intimitate„ în fața „comodității„ fără să stăm prea mult pe gînduri. Click/next-click/next-finish fără să citim cu atenție „terms and conditions„. Uităm (sau poate nu realizăm) că datele personale sînt ale noastre nu ale organizației căreia le furnizăm!
De la noi din bătătură, povestea de la CNAS dovedește că nici organizațiile nu prea sînt interesate de ce și cum cu datele noastre. Probabil după 25 mai 2018 cînd va intra în vigoare Regulamentul European pentru protecția datelor personale și Legea 677 se va abroga se va schimba ceva și pe la noi
In mod normal, managementul care a stat 2 luni ca sa isi vanda actiunile ar cam trebui sa faca inchisoare, dupa legea americana.
Pe plan regulatoriu insa, ii asteapta multe lucruri rele.
Unul ar fi ca din ce citesc, erau si cetateni UE inregistrati in sistem, Ma astept ca UE sa reactioneze la aceasta scurgere de informatii.
Al doilea ar fi ca daca raspundeau de New York Department of Financial Services, ii asteapta niste amenzi usturatoare.
O alta chestie nasoala e ca aparent erau certificati PCI DSS, ceea ce va duce la devalorizarea sau discreditarea acestei certificari. Personal nu sunt impresionat de asta, am auditat destule companii certificate PCI DSS si erau in cazuri crase de non-compliance (nu se folosea criptografie pentru protectia datelor, firewall-urile si IPS-urile erau de forma, vulnerabilitati cu duiumul, servicii de cloud nesecurizate, oameni prost pregatiti…), cred ca au platit ceva in plus si auditorii au inchis ochii.
Ei, nu cred chiar în”şpăguţa ca la noi” eu zic că explicaţia e mai simplă şi mai banală: nu prea mai au oameni pregătiţi, şi din motive financiare, şi fiindcă…. nu prea mai sunt, broasca IT s-a umflat prea mult şi nu mai are ce să înghită. Si mai ales, aparent cu cât vorbim mai mult de securitatea datelor, cu atât ne pasă mai puţin. Am avut şi eu sentimentul ăsta în diverse situaţii, managerii au devenit imuni la poveştile mele apocaliptice despre ameninţări, presupun că sunt atât de inundaţi de apocalipsa din media încât au dezvoltat rezistenţă naturală…
Nu vorbesc de companii de la noi. Romania e o cauza pierduta din perspectiva securitatii informatice, am plecat pe alte meleaguri, acolo unde bugetele de securitate pleaca de la 6 cifre in sus si unde securitatea inseamna mai mult decat „A”-ul din principiile „C-I-A”.
Mi-am dat seama de asta, dar mă tem că doar bugetele sunt cu sase cifre, majoritatea cred ca şi la noi că făcând o „donaţie” la Cisco sau la Symantec problemele se rezolvă singure, şi uite aşa ne trezim cu configuri default pe echipamente de zeci de mii de USD. Vedeţi şi incidentul de acum ceva vreme cu Sony…..