世纪黑客事件内幕

    我们将采取“无情的对策”。

    外泄的电子邮件显示，到6月17日，索尼想调侃“真实人物”的胃口瞬间变小了。电影的首条预告片出现在互联网上没几天，刚刚审查完该片的平井一夫就打电话给林顿，担心该片会激化已经处于紧张状态的日朝关系。在平井看来，对于一家日本公司来说，在当前的形势下拍摄《刺杀金正恩》是危险的。

    林顿手忙脚乱，他首先将预告片从网上撤下来重新编辑。索尼公司刚刚根据平井的“一个索尼”的倡议，在公司各个品牌（包括哥伦比亚、TriStar和Screen Gems）名下上映的所有电影的演职表里都添加了索尼的标识。现在，公司下令，将“Sony”字样从与《刺杀金正恩》相关的一切产品里去除，力图淡化它的日本母公司。准备在亚洲限映的计划也放弃了。林顿对帕斯卡尔说：“所有关于电影的事情都要保密。”

    这可不是一件容易的事情。没过几天，一位朝鲜政府的发言人警告，让《刺杀金正恩》上映“将是最露骨的恐怖主义行为和战争”，并威胁采取“无情的对策”。[朝鲜政府后来向美国白宫和联合国安全理事会（United Nations Security Council）提出了正式的控告。]朝鲜喜欢威胁其他国家，这并不新鲜，不过，绝大多数的威胁只不过是恐吓。

    不过，金氏政权据信雇佣了一支数千人的精锐黑客大军，确曾因为发动一系列的网络攻击（尤其是针对死敌韩国的攻击）而饱受指责。最严重的事件发生在2013年3月，一次被称为“黑暗首尔”（DarkSeoul）的网络攻击，给韩国的银行和广播公司造成了7亿美元的损失，自动柜员机被冻结，30,000台计算机的硬盘被清除数据。此次事件当中的黑客也贴出了带有骷髅头像的公告。美国的媒体对黑客做了大量的报道。

    可是，电影招来的越来越大的影响让索尼影业公司的高管们猝不及防。他们需要评估危险。在接到平井一夫的电话后，影业公司的高管道格·贝尔格拉德（Doug Belgrad）到了欧洲，对林顿说，他现在“正在做功课，了解是否有先例，在电影当中描写及/或杀死在任领导人”。电子邮件显示，林顿动用了他的人脉，非正式地向两位外部专家咨询。（罗根对这些毫不在意，他发了一条开玩笑的推文：“没有人会因为我的一部电影杀掉我，除非他们花12美元看了它。”）

    在一份代表林顿的书面说明中，索尼的发言人劳森坚称，给首席执行官提供建议的“‘最了解情况的’专家没有暗示或警告网络攻击的可能性”。根据林顿写的一份谈话记录，与林顿交谈的专家之一、美国主管东亚和太平洋事务的副国务卿丹尼尔·拉塞尔（Daniel Russel）确实没有提及黑客风险。

    但是，林顿从他咨询最多的专家那里得到了不同的信息。兰德公司（Rand Corp.，林顿是该公司的董事）的一位朝鲜专家布鲁斯·本内特（Bruce Bennett）说，他确实警告过索尼的首席执行官，网络攻击有“一定的可能性”。

    看完《刺杀金正恩》之后，本内特发给他一份长达三页的备忘录，评估了当前的形势。此时，朝鲜甚至还没有开始抗议影片。随后，他又与林顿有过几次后续的交流，指出朝鲜经常发出空头威胁，或许没有什么可担心的。

    本内特的备忘录强调，朝鲜有可能试探索尼的计算机系统：“现在，朝鲜还不知道有这部电影，但如果他们知道，他们就很可能试探索尼的计算机系统，观察索尼是否为应对朝鲜的批评做好了准备。”（从被破解的文件中无法恢复该备忘录。本内特为《财富》杂志读了上述文字。）

    本内特说，在随后的谈话中，他做了更多的说明。他对首席执行官说，金氏政权雇佣的黑客“有可能造成损害”，还介绍了“黑暗首尔”事件，并建议说：“你必须认识到，这个方面可能要出事。”劳森否认有这回事：“如果林顿接受了任何的此类警告，他就会马上给网络专家打电话询问……他和本内特谈过多次，本内特从未提及过针对电影公司的网络攻击的可能性……”

    据罗根和戈德堡的发言人马特·拉博夫（Matt Labov）说，他们也收到了可能的网络攻击的警告。在他们开始拍摄电影前，两人就收到了来自于咨询公司McLarty的里奇·克莱因（Rich Klein）的建议。该公司位于华盛顿哥伦比亚特区，给好莱坞提供难缠的地缘政治问题方面的建议。克莱因对《财富》杂志说，在读过两人的剧本后，他建议，拍摄这部电影，要对朝鲜的“反击”有心理准备，有可能是以电子攻击的形式。他敦促他们更改银行和电子邮件的密码，严密监控他们的互联网账号，并且提供了一家网络安全咨询公司的名字。

    克莱因说，他还担心，朝鲜可能会对索尼影业公司发动网络袭击，以期阻止《刺杀金正恩》的上映。拉博夫说，罗根和戈德堡将这个消息传给了索尼的高管。克莱因说：“我觉得相关的一切人员都需要保护自己，无论是电影公司还是制作人员。朝鲜人是侵略性很强的网络战士……让我吃惊的是，我感受不到索尼有很强的担心和警惕。”（索尼的发言人也否认收到了来自于罗根和戈德堡的警告。）

    电子邮件显示，索尼没有加强网络防护，而是试图减轻对朝鲜的冒犯。他们的行动适合于拍成好莱坞的闹剧。公司花了55万美元，对影片的壁画和人物所戴胸章上的金正恩家人的形象做了数字处理；它把《刺杀金正恩》的营销材料从自己的网站上删除；它还准备了一份声明，坚称这部电影是“一部完全虚构的喜剧，与当前事件没有任何关系”。至于计划上映的是一部表现一位现任国家元首惨死的影片，索尼就管不了了。

    在8月初，帕斯卡尔带家人出国，到亚洲长时间度假。林顿去了马撒葡萄园岛。当时，他们已经决定，将《刺杀金正恩》的上映时期推迟到圣诞节，以此为处理另外一个问题腾出时间。在平井的授命下，公司的高管们与电影制作人员开始了长达三个月的斗争，力图弱化影片中充满暴力和血腥的高潮镜头。影片以慢动作展示了杀死金正恩的过程：一发坦克炮弹打中了金正恩乘坐的直升飞机，他被爆了头，并化成一团火球，血肉滴落下来。

    索尼影业公司的公关经理让·格林（Jean Guerin）在一封电子邮件里对帕斯卡尔等高管们说，《好莱坞记者报》听到了此事的风声。该报准备报道，“索尼公司”要求做出“几处关键剪辑”，包括“金正恩脸部融化的镜头将被剪掉”。在外部的压力下，索尼做出回应，否认正在修改。格林对高管们说：“我们驳拆了（记者）的假说，并在私下里告诉她，这是电影制作过程中的常规工作/会发生的事情。”

    这篇文章见报于8月13日，暗示索尼为了安抚朝鲜而修改电影。罗根颇为恼火。在他看来，报道把他说成是一位背叛者。高管们召开紧急会议，策划损管行动。林顿被请求参会，他说他正在马撒葡萄园岛吃晚饭，脱不开身。“我坐在奥巴马总统和希拉里·克林顿（Hillary Clinton）之间……如果我们必须改变策略，那么我想等到我们发表意见之后再定。”

    平井一夫和林顿都觉得这部片子的攻击成份大于逗乐，希望彻底删除“爆头的画面”。林顿在一封电子邮件里写道：“我们不能在这个地方耍聪明。我们真正想要的，是去掉那融化的脸，不让观众看见他死。”但是罗根强烈反对做重大改变，他称这是一个“精彩的”镜头。

    索尼拥有电影的最终编辑权。但是根据采访和外泄的电子邮件，它担心，如果强行按照自己的意愿去做，罗根会跟它一刀两断，给票房和公关带来灾难。在给帕斯卡尔的电子邮件中，罗根说：“这部电影应该引起争议，你以前就是这么对我们说的。如果让一部电影降格去安抚它恰好要讽刺的对象，那就没有任何可争议的了。”（在那几天，帕斯卡尔先后在越南和巴厘岛度假。罗根接二连三地向她发难，坚持要求跟她“尽最大可能地谈判。”帕斯卡尔将其中一封电子邮件转发给同事，说：“能让我消失在丛林里吗？”）

    9月25日，帕斯卡尔回到洛杉矶，在犹太新年（Jewish New Year）假日，她坐在教堂里，通过电子邮件，动情地请求罗根让那画面“不要太血腥”。她写道：“我给你的支持比任何人都多。我面对的，可不是小人物，而是索尼总公司的董事长。你必须要知道，几乎没有什么关系和制片人员能够让我处在今天这种局面。”

    罗根心软了，同意将金正恩“着火的头发”减少一半，将“4个面部火焰剪掉3个”，“改变脑袋的颜色，使它看上去不那么令人不适”。从一些电子邮件来看，9月28日，在看过新版影片，并且得知那个画面将在海外上映时被彻底删除后，平井一夫表示了支持。公司可以继续推进影片的上映和推广计划。帕斯卡尔发电子邮件给平井一夫：“无论您做出何种决定，我都真心热爱为您和索尼工作。但是，我必须告诉您，这对我和电影公司有多么的重要。谢谢您，因为您是一位神奇的领导和非常酷的上司。向您致以巨大的感激和热爱。”

    “只要注入一次，我们就什么都能拿到。”

    回顾往昔，人们会难以理解，索尼影业公司对电子入侵何以如此疏于防范。它是一家科技公司的一部分，这家科技公司销售的是数字产品，比如电影、电视剧、视频游戏和音乐，很容易面临网络盗窃。索尼曾经因为出重拳保护知识产权而激怒过黑客，公司的各个部门都成为了他们的长期攻击目标。网络安全大师、哈佛大学伯克曼互联网和社会中心（Harvard's Berkman Center for Internet and Society）的一位研究员布鲁斯·施奈尔（Bruce Schneier）说：“索尼是一家黑客要憎恨10年的公司。”

    仇恨要追溯到2005年的“Rootkit丑闻”。当时，索尼的音乐部门正在努力打击盗版，制作了数以百万计的CD。这些光盘在用户的电脑上秘密安装了阻止非法拷贝的软件（即Rootkit，其实是一种木马程序—译注），但同时也在窥探用户听音乐的习惯，降低了他们的电脑的运行速度，并制造出安全弱点。在一个科技博客曝光了这件事情后，索尼面临所在州的总检察长的官司、集体诉讼和美国联邦贸易委员会（Federal Trade Commission）的指控（后来均和解）。此事惹得消费者大怒，尤其是对盗版很敏感的黑客们，他们号召联合抵制索尼的产品。

    随后数年，这种对立加剧。2011年，索尼发起了被称为“向黑客宣战”的行动。借助于版权法和计算机欺诈法，公司起诉了一名叫做乔治·霍兹（George Hotz，又叫“geohot”）的21岁知名黑客，指控其对PlayStation 3游戏机实施“越狱”，以便能够运行盗版游戏和免费软件，还上传了一个视频，展示越狱过程。索尼甚至还出示了服务器记录，展示谁曾经访问过霍兹的网站。公司又起诉了来自于德国的第二名黑客。警方突袭了这名黑客的住所，没收了他的电脑。

    反击很快随之而来。2011年4月，黑客宣布索尼的这次镇压行动“完全不可饶恕”，突破了它的PlayStation网络（PlayStation Network），曝光了770万名客户的个人信息和1,000万客户的信用卡记录。此事迫使索尼将网络关闭了24天，令它损失了1.71亿美元。在美国国会作证时，索尼PlayStation网络部门的主管蒂姆·沙夫（Tim Schaaff）说的一些话，与多年之后索尼影业公司所采取的说法惊人相似。他坚称，公司是“非常高明的”的突破技术的受害者，“其规模和范围前所未有”，尽管公司采用了“非常、非常强有力”的安全措施。

    外部专家不赞同这种说法。他们的结论是，拙劣的IT实践，包括没有更新安全软件，使得索尼的门户大开。英国的监管机构后来对公司处以相当于39.61万美元的罚款，理由是未能保护隐私信息。英国方面表示，这次突破“本来可以防止”，而索尼的安全措施“就是不够好”。公司将此次事件归咎于黑客组织“匿名者”（Anonymous），该组织对索尼遭受的其他黑客事件负责，但坚称这一次它是被陷害的。到底谁是罪犯，一直没能确定。

    在2011年结束前，索尼的多个业务部门遭受到了20多次突破，使得公司对外宣称的强有力防护变成了笑柄。索尼影业公司在6月被殃及，成为了受害者，“匿名者”的一个分支LulzSec使用一种简单的技术，闯进了它的网络，泄露了一些客户的个人信息。LulzSec炫耀说，它已经拿到了100万名索尼客户的信息，侵入索尼只为显示这样做是多么容易：“只要注入一次，我们就什么都能拿到。这么简单的攻击，公司都能放行，你们为什么还信任它？”在互联网的博客写手看来，索尼的防护系统如此差劲，他们甚至发明了一个术语：Sownage，形容像索尼那样的、被完全攻占的状态。

    PlayStation攻击事件的结局是，时任索尼游戏和消费者产品业务总裁的平井一夫，正式在一次东京的新闻发布会上鞠躬道歉。他发誓要采取新的措施，加强全公司的网络防护。2011年9月，索尼公司也宣布，聘用了它的第一位全球首席信息安全官。他是美国国土安全部（Department of Homeland Security）的前任官员、网络安全牛人菲利普·赖廷格（Philip Reitinger）。