Die Rootkit-Kopierschutz-Affäre nimmt für Sony BMG so schnell kein Ende. Nun schaltete sich mit dem New Yorker Generalstaatsanwalt Eliot Spitzer auch ein alter Bekannter des Majors in die Angelegenheit ein. Mitarbeiter von Spitzers Abteilung, die Sony BMG im Sommer zu einem zehn Mio. Dollar schweren Vergleich im so genannten „Payola-Skandal“ gezwungen hatte, gingen vor wenigen Tagen auf Shopping-Tour. Dabei fanden sie bei Händlern wie Wal-Mart, Best Buy, Sam Goody, Circuit City, FYE und Virgin CDs, die mit dem inzwischen als Sicherheitsrisiko bekannten Kopierschutz XCP versehen waren.
Der Vertrieb der Plattenfirma hatte eigentlich am 18. November eine Rückrufaktion für die rund 4,7 Mio. „infizierten“ CDs gestartet. Die Tatsache, dass auch Tage danach noch XCP-CDs im Handel erhältlich waren, führte für Sony BMG bereits im US-Bundesstaat Texas zu einer Klage. Spitzer beließ es indes bei einer Verwarnung und rief die Konsumenten auf, die Finger von der Ware zu lassen. Es sei „inakzeptabel“, dass auch drei Wochen, nachdem das Ausmaß des XCP-Sicherheitsrisikos bekannt wurde, die betreffenden CDs noch immer in den Regalen der Händler zu finden sind – und das während der heißesten Einkaufssaison des Jahres. Er werde die Angelegenheit weiter im Auge behalten, ließ Spitzer wissen.
Unterdessen wurde bekannt, dass Sony BMG offenbar schon frühzeitig vom XCP-Problem gewusst hatte, ohne angemessen zu reagieren. Nach Informationen der „Business Week“ wurde das Unternehmen bereits mehrere Wochen, bevor Software-Experte Mark Russinovich am 31. Oktober in seinem Blog auf den XCP-Rootkit hinwies, auf das Problem mit dem Kopierschutz aufmerksam gemacht. Die finnische Computersicherheitsfirma F-Secure habe Anfang Oktober nach einem Hinweis eines Kunden aus New York XCP unter die Lupe genommen und dabei festgestellt, dass es sich um ein „ernsthaftes Sicherheitsrisiko“ handelt. In der Folge wurde am 4. Oktober Sony DADC, der Duplizierer von Sony BMG, und danach die Plattenfirma selbst informiert. F-Secure behauptet jedoch, bei Sony BMG habe man die Gefahrenhinweise nicht ernst genommen und gehofft, dass die Finnen zusammen mit dem britischen XCP-Entwickler First 4 Internet eine Lösung für das Problem finden würden.
Nach Darstellung von F-Secure habe Sony BMG das Problem klein reden wollen und darauf verwiesen, dass ohnehin kaum jemand von der XCP-Gefahr wisse. John McKay, Sprecher von Sony BMG, bestreitet dies und erklärte gegenüber „Business Week“, man habe F4I und F-Secure beauftragt, im Stillen schnellstmöglich eine Lösung für den Softwarefehler zu entwickeln. Doch dann kam Russinovich, von all dem nichts ahnend, den Krisenmanagementplänen von Sony BMG mit seiner Enthüllung zuvor.
