L’attacco ai sistemi di sicurezza dei rispettivi network del colosso nipponico avvenuto tra il 16 ed il 17 aprile scorso e che ha messo in serio pericolo la privacy di più di 77 milioni di utenti, è più grave del previsto. A rivelarlo in un comunicato è la stessa azienda che informa i propri clienti europei (si parla di 24,6 milioni di utenti, di cui 1,5 milioni italiani) appassionati di gaming e di musica online, del furto dei propri dati personali nonché della conseguente e probabile appropriazione indebita di tutti i rispettivi dati bancari, con i numeri di 12.700 carte di credito (incluse le date di scadenza) non americane e di circa 10.700 documenti di addebito diretto di alcuni clienti residenti in Austria, Germania, Olanda e Spagna. Una cospicua risorsa di informazioni che includono nome, indirizzo, e-mail, data di nascita, genere, numero di telefono, password oltre che i numeri di conto corrente bancario, l’identità, l’indirizzo e gli estremi dell’account di ciascun cliente. Questo è il primo bollettino ufficiale aggiornato delle perdite. La causa sarebbe da imputarsi ad un database obsoleto risalente al 2007. Una falla nella procedura di aggiornamento del software di sicurezza, forse, ma la presenza di password non criptate e violate mediante una chiave hash crittografica, sicuramente, risultano i varchi che avrebbero consentito in pochi giorni ai cracker di penetrare i server e violare la privacy degli utenti, mediante un unico attacco. È la stessa Sony a specificarlo attraverso il proprio portavoce SOE, Michele Sturdivant, probabilmente per mettere a tacere le voci diffuse su intrusioni ulteriori nel sistema. Un attacco, dicevamo, che da solo è costato l’interruzione del funzionamento di tutti i server dipendenti dal servizio SOE che abilitano gli utenti PlayStation a giocare online in modalità multiplayer.
Se da un lato la multinazionale giapponese si affretta a smentire le indiscrezioni di alcuni esperti su possibili richieste di riscatto dei dati trafugati da parte dei “Lupin” dell’informatica, in Germania la società di sicurezza G Data Security Labs, con sede anche in Italia, in un comunicato, rivela i prezzi di listino in dollari delle informazioni rubate (specie quelle bancarie) sul mercato nero, resi disponibili su forum underground ed altri circuiti pirata. “Chiunque sia il responsabile di questa operazione è certo che lo abbia fatto per soldi. I dati rubati, infatti, possono far guadagnare molto denaro attraverso la vendita effettuata nei forum underground e al mercato nero online”, sottolinea G Data. Dalla tabella si evince che 50 dollari di credito sfruttati sulla piattaforma violata avrebbero un valore tra i 10 ed i 25 dollari, mentre i numeri di una carta di credito con relativo codice di sicurezza arriverebbero a 50 dollari mentre per una Gold si sfiorerebbero i 70 dollari ed appena 3 dollari per un’American Express Usa.
Non si sa ancora se basteranno ad acquietare gli animi dei milioni di iscritti al servizio le assicurazioni del colosso nipponico, impegnatosi per ora a garantire 30 giorni extra sugli abbonamenti sottoscritti, oltre che ad aiutare i propri clienti nella protezione (anche se un po’ tardiva) dei propri dati sensibili mediante assistenza ed iscrizione gratuita a servizi di protezione, con gli ovvi distinguo “locali”.
Quel che è certo è che si tratti di misure attestanti la consapevolezza, ormai acquisita dalla Sony, della fragilità dei propri sistemi di sicurezza e dell’urgenza di fare chiarezza sulle modalità di aggiramento specie se in Rete continuano a proliferare dati non ufficiali sui danni. Da ultimo quelli rivelati su Twitter da un ex-redattore di 1up.com, il sito specializzato in gaming ed altro, che avrebbe stilato una top ten dei paesi colpiti dal furto del maggior numero di account. Il podio spetterebbe agli Usa (31.104.307 account) la Gran Bretagna (9.296.317) ed il Giappone (7.427.038), mentre l’Italia comparirebbe al nono posto con 1.473.187 account i cui dati sarebbero ora in possesso dei cracker.
Ma le dichiarazioni ufficiali non si fanno attendere. Oltre all’intervento del Garante della Privacy inglese e all’appello a quello italiano fatto dall’associazione Adiconsum per l’allestimento di un tavolo, si aggiunge infatti anche la lettera di disappunto sulle modalità di gestione dei dati di milioni di utenti scritta dal senatore Usa, Richard Blumenthal, il quale ha invitato la Sony a comparire in un congresso per dare risposte chiare sui risvolti della vicenda. Intanto alcuni dettagli sono già stati forniti il 1° maggio scorso in una conferenza stampa organizzata dall’azienda a Tokyo.
Manuela Avino