Zákeřný software od Sony se bez vědomí uživatelů instaluje do počítače bez možnosti odinstalování spolu s aplikací nutnou pro přehrání CD, zatěžuje trvale systém, odesílá data o uživateli počítače a otevírá bránu hackerům a počítačovým virům. Více zde.
Na rootkit narazil nejen Mark Russinovich, ale před ním podle serveru BusinessWeek Online také John Guarino, vlastník TecAngels.com, zabývající se opravami počítačů. I Guarino po čase odhalil, že zdrojem záhadné infekce na počítačích zákazníků jsou hudební CD firmy Sony BMG. "To bylo zlé. Rootkit je nejhorší věc, kterou můžete mít ve svém počítači," říká Guarino. "A firma Sony ji instalovala lidem."
Guarino se rozhodl zaslat mail upozorňující na vážný problém finské antivirové společnosti F-Secure. Ta provedla vlastní výzkum a v říjnu upozornila Sony, že její protikopírovací ochrana XCP obsahuje rootkit, který umožňuje hackerům skrýt na počítači viry a učinit je imunní proti antivirovým programům. F-Secure označila XCP jako závažnou bezpečnostní hrozbu.
Pro Sony BMG vytvořila ochranu XCP britská společnost First4Internet a také jí firma F-Secure na problém upozornila. Nejprve byla zaslána zpráva, dvacátého října se pak uskutečnil konferenční hovor mezi zástupci F-Secure a First4Internet. F-Secure uvádí, že při něm lidé z First4Internet tvrdili, že se nejedná o žádný skutečný problém, protože si je jen hrstka lidí vědoma zranitelnosti, kterou XCP vytváří. Řešením, které nabízeli, měla být až opravená ochrana, která by byla na CD od Sony distribuována v dalším roce.
Linii zlehčování problému zastávala samotná Sony BMG, která podle F-Secure neměla v úmyslu dělat nic s CD, které byly již v prodeji či v rukou zákazníků. Také se zástupci Sony se uskutečnil konferenční rozhovor.
"Upozorňovali jsme je, že jde o zásadní bezpečnostní riziko," uvádí Santeri Kangas, ředitel výzkumu F-Secure. "Mysleli, že je to hloupost. Chtěli problém ututlal."
Firma Sony s tím nesouhlasí. Vše měl podle ní řešit patch, který by byl nabídnut zákazníkům ke stažení. "To by nepochybně vedlo k veřejnému prohlášení," říká mluvčí Sony John McKay.
Do věci ale vstoupil nový faktor v podobě příspěvku v blogu Marka Russinoviche a problém se tak na veřejnost dostal bez přispění Sony. Krátce po zveřejnění se firma snažila vše opět spíše bagatelizovat, posléze nabídla dosti nešťastný patch, který problémy spíše přidělával, než aby je řešil a ke stažení CD z obchodů se firma nakonec rozhodla v důsledku masivní kritiky ze všech stran.
V té době již ovšem byly jejím nebezpečným spywarem infikovány tisíce počítačů na celém světě. Protikopírovací ochrana XCP, která postihla platící zákazníky, nikoliv piráty, se Sony rozhodně nevyplatila. Internet je zaplaven výzvami k bojkotu jejích produktů, firma čelí mnoha žalobám, vyměňuje a stahuje milióny hudebních CD. Je otázkou, zda si z toho společnosti vidící spásu v čím dál brutálnějších ochranách na hranici (či za hranicí) legálnosti vezmou poučení.
Podle vyjádření zástupců tuzemské pobočky Sony BMG nejsou a nikdy nebyla hudební CD s problematickou ochranou XCP v Čechách prodávána.
