Sony, nuovo attacco hacker, trema l'industria del gaming

SECURITY

Colpito anche il sistema Sony Online Entertainment cui si accede via pc. Secondo le prime stime risultano compromessi i dati personali di circa 100 milioni di utenti

di Patrizia Licata
Un secondo attacco ai sistemi della Sony porta l’industria del gaming e gli analisti a chiedersi quanto siano sicuri non solo i network della casa giapponese, ma in generale le reti Internet cui vengono affidate le informazioni sensibili.

Dopo l’attacco hacker che ha compromesso il network della PlayStation con cui si collega chi gioca dalla popolare console della Sony e esposto i dati di oltre 70 milioni di utenti, il colosso asiatico ha dovuto chiudere un secondo network online dedicato ai suoi clienti del gaming, il sistema Sony Online Entertainment, che serve i giocatori di EverQuest e di altri giochi Sony cui si accede dai personal computer. L’azienda giapponese ha anche per la prima volta ammesso che gli hacker hanno rubato i dati di migliaia di carte di pagamento.

Nel nuovo attacco, sono stati sottratti nomi, indirizzi di posta elettronica e fisica e numeri di telefono di 24,6 milioni di utenti ed è rimasto compromesso un database che raccoglie dati dal 2007, esponendo oltre 12.700 numeri di carte di debito e credito e più di 10.700 informazioni su pagamenti effettuati da Austria, Germania, Paesi Bassi e Spagna.

Il problema è ancora più grande di quanto rivelano questi numeri perché l’intrusione appare massiccia. Spiega oggi al Financial Times Hemanshu Nigam, ex capo della sicurezza digitale della News Corp: “Se un hacker riesce a entrare nella tua casa dalla porta principale, devi controllare che cosa è successo in ogni singola stanza. Sony sta pagando cara una security evidentemente non di altissimo livello”.

L’attacco ha ripercussioni massicce non solo per la capillarità con cui potrebbe aver colpito i sistemi Sony ma anche per l’estensione nel tempo, perché l’esposizione dei dati sensibili di milioni di utenti li mette a rischio di furto di identità per i prossimi anni. Le dimensioni sono spaventose, calcola oggi Bloomberg: fino a 100 milioni di clienti della PlayStation Network, della Sony Online Entertainment e anche del servizio di film e musica Qriocity saranno vulnerabili per anni, perché, spiega Steve Ward, portavoce della società di security online americana Invincea, “gli hacker ora hanno il nome, la data di nascita, il cognome da nubile della madre e altri dati personali degli utenti Sony, informazioni usate per provare la nostra identità online e che da ora in poi possono essere usate per falsificarla”.

Sony ha comunque subito aperto un’indagine interna, lavorando con Oracle e tre società più piccole specializzate in sicurezza, che hanno disegnato parte dei suoi sistemi, per capire che cosa non abbia funzionato. I servizi online della giapponese dovrebbero essere pienamente riattivati per la fine di maggio e i clienti potrebbero essere risarciti con download gratuiti e 30 giorni di servizi premium gratis, ha fatto sapere la Sony, assicurando anche che i numeri delle carte di credito erano adeguatamente crittati e sarà difficile per gli hacker utilizzarli. L’indagine parallelamente avviata dall’Fbi conferma che non ci sono notizie di frodi o furti condotti sulle carte di credito dei clienti Sony.

Ma intanto l’intera industria dei giochi si interroga sulla questione security. La vulnerabilità dei sistemi Sony così drammaticamente messa a nudo riguarda solo la casa giapponese o tocca tutto il mercato del download digitale dei giochi?

L’industria dei games sta attraversando oggi una fase di trasformazione simile a quella vissuta dall’industria della musica, nota il Wall Street Journal in un commento. In Gran Bretagna, le vendite di software per console sono scese del 10,5% dal 2009 al 2010 (e del 24% rispetto al 2008), per un valore di 1,45 miliardi di sterline, mentre le vendite di mobile games, social games e digital download sono in pieno boom. Ma l’esposizione dei dati personali di 77 milioni di persone potrebbe portare a uno stop in questa sensazionale ascesa, rendendo i consumatori molto più cauti nel mettere online le proprie informazioni. Non solo quelle sulla carta di credito, che valgono solo 5 centesimi sul mercato nero: quello che i criminali cercano sono gli indirizzi fisici e di posta elettronica, le date di nascita, le risposte alle domande segrete. Il Wall Street Journal si chiede se oggi Sony sia ritenuta ancora affidabile come due settimane fa e se i consumatori si sentano ancora tranquilli a comprare giochi e effettuare download dai siti di Apple, Microsoft, Zynga, Mind Candy.

Il Financial Times allarga lo sguardo domandandosi in generale quanto sia affidabile Internet. Forse meno di quanto molti consumatori pensino, se persino un colosso come Sony può cadere vittima di un massiccio attacco hacker. Il vorace appetito delle aziende di Internet per i dati non sempre si unisce a un’altrettanto solida capacità di tenere queste informazioni al sicuro, scrive il quotidiano finanziario in un editoriale. La decisione di Apple di inserire il software di location-tracking nel suo iPhone senza informarne i clienti ne è la prova: i dati raccolti aiutano l’azienda a mandare pubblicità mirate sui cellulari, ma il sistema rappresenta un’invasione della privacy e un’inadeguata protezione dei dati personali. Apple, una volta raccolti i dati, avrebbe dovuto proteggerli.

Altrettanto preoccupante l’attacco hacker alla Sony che ha messo in pericolo dati di milioni di utenti e che evidenzia un vero problema di sicurezza. Innanzitutto perché i consumatori spesso non hanno remore a consegnare i propri dati personali alla Rete, come fanno, ad esempio, su Facebook. E su molti altri siti, spesso usando la stessa password. Ciò accade perché gli utenti si fidano, a volte a torto, delle aziende e pensano che si occuperanno di proteggere i loro dati.

La realtà, conclude il Financial Times, è che i consumatori non si curano di proteggere le loro identità online e le aziende hanno un interesse commerciale troppo forte a raccogliere il più alto numero possibile di dati. L’avvento del social networking ha esasperato questo trend. Le aziende ci incoraggiano a condividere le informazioni, cosicché le impostazioni di default risultano spesso contrarie ai principi della privacy. Ed ecco aperta la porta alle vulnerabilità. Occorrerebbero chiare regole che stabiliscono chi possiede quali informazioni e soprattutto dovrebbe essere più facile per i consumatori cancellare quando vogliono le informazioni che hanno messo su Internet. Gli utenti possono pure fornire i loro dati privati in cambio di servizi, ma devono essere informati su quello che fanno e comprendere a fondo le conseguenze di un eventuale furto o perdita di tali dati.

03 Maggio 2011