"Sony BMG heeft veel spijt van het ongemak voor consumenten. We blijven gecommiteerd aan het leveren van een veilige muziekervaring", aldus het bedrijf in een verklaring. Hoe het omruilprogramma voor consumenten er exact gaat uitzien is vooralsnog onbekend, zo meldt USA Today. In totaal zijn er twintig verschillende titels waarop de rootkit is geplaatst. In totaal zijn er 4 miljoen cd's geproduceerd, waarvan er 2,1 miljoen zijn verkocht.

De rootkit-bal kwam aan het rollen toen beveiligingsexpert Mark Russinovich de cd van Get Right with the Man van Van Zant in zijn pc stopte. Al snel merkte hij dat de cd ongemerkt een rootkit installeert. Op de website Sysinternals beschrijft hij al zijn ontdekkingen.

De manager van de band Van Zant heeft er bij Sony op aangedrongen de cd's terug te halen. Ross Schilling: "Ik heb tegen Sony gezegd dat we proactief moeten handelen omdat we anders ons zakenmodel de grond in boren."

SonyBMG biedt op zijn website inmiddels een uninstaller aan die gebruik maakt van ActiveX. Hierdoor komt de pc wagenwijd open te staan, zo ontdekten diverse beveiligingsexperts.

Boycot

Privacywaakhond Electronic Frontier Foundation (EFF) heeft inmiddels een open brief gericht aan de top van SonyBMG online gezet. Hierin wordt opgeroepen om alle cd's terug te halen, volledige openheid van zaken te geven en in de toekomst grondig eventuele drm-software te testen. Technologietijdschrift Wired roept inmiddels op tot een boycot van Sony.

SonyBMG komt steeds zwaarder onder vuur te liggen. Zo is het bedrijf in zowel Italië als Californië aangeklaagd vanwege de xcp-spyware die het licenseert van First 4 Internet.

De gebruikte software blijkt tevens onder de Lesser Gnu Public License (LGPL) te vallen. Volgens deze licentie moet Sony aan een aantal eisen voldoen. Zo moeten ze onder andere vertellen dat ze de software gebruiken in een copyright notice. Ook moet het bedrijf de broncode van de open-sourcelibraries leveren of beschikbaar maken.

Spyware

Ook beveiligingsbedrijven zijn tegen de technologie van Sony. Microsoft Antispyware kenmerkt de software als spyware, evenals eTrust PestPatrol van Computer Associates (CA). De actie van deze bedrijven is mede ingegeven door een Trojaans paard dat de ronde doet over internet, die handig gebruik maakt van de rootkit van Sony.

Een woordvoerder van SonyBMG verklaarde in NRC Handelsblad dat de rootkit-cd's ook naar Nederland komen. Of dat na de verklaring van de top van de platenmaatschappij nog steeds het geval is, is onduidelijk.

Wouter Rutten van de NVPI benadrukte eerder al dat de commotie voor Nederlanders een 'zinloos verhaal' is omdat de bewuste cd's alleen in de Verenigde Staten en in Mexico verkrijgbaar zijn. De organisatie biedt via de site Cdlogo.nl wel informatie over de beveiliging van First 4 Internet.