Un secondo attacco ai sistemi della Sony porta l’industria del
gaming e gli analisti a chiedersi quanto siano sicuri non solo i
network della casa giapponese, ma in generale le reti Internet cui
vengono affidate le informazioni sensibili.
Dopo l’attacco hacker che ha compromesso il network della
PlayStation con cui si collega chi gioca dalla popolare console
della Sony e esposto i dati di oltre 70 milioni di utenti, il
colosso asiatico ha dovuto chiudere un secondo network online
dedicato ai suoi clienti del gaming, il sistema Sony Online
Entertainment, che serve i giocatori di EverQuest e di altri giochi
Sony cui si accede dai personal computer. L’azienda giapponese ha
anche per la prima volta ammesso che gli hacker hanno rubato i dati
di migliaia di carte di pagamento.
Nel nuovo attacco, sono stati sottratti nomi, indirizzi di posta
elettronica e fisica e numeri di telefono di 24,6 milioni di utenti
ed è rimasto compromesso un database che raccoglie dati dal 2007,
esponendo oltre 12.700 numeri di carte di debito e credito e più
di 10.700 informazioni su pagamenti effettuati da Austria,
Germania, Paesi Bassi e Spagna.
Il problema è ancora più grande di quanto rivelano questi numeri
perché l’intrusione appare massiccia. Spiega oggi al Financial
Times Hemanshu Nigam, ex capo della sicurezza digitale della News
Corp: “Se un hacker riesce a entrare nella tua casa dalla porta
principale, devi controllare che cosa è successo in ogni singola
stanza. Sony sta pagando cara una security evidentemente non di
altissimo livello”.
L’attacco ha ripercussioni massicce non solo per la capillarità
con cui potrebbe aver colpito i sistemi Sony ma anche per
l’estensione nel tempo, perché l’esposizione dei dati
sensibili di milioni di utenti li mette a rischio di furto di
identità per i prossimi anni. Le dimensioni sono spaventose,
calcola oggi Bloomberg: fino a 100 milioni di clienti della
PlayStation Network, della Sony Online Entertainment e anche del
servizio di film e musica Qriocity saranno vulnerabili per anni,
perché, spiega Steve Ward, portavoce della società di security
online americana Invincea, “gli hacker ora hanno il nome, la data
di nascita, il cognome da nubile della madre e altri dati personali
degli utenti Sony, informazioni usate per provare la nostra
identità online e che da ora in poi possono essere usate per
falsificarla”.
Sony ha comunque subito aperto un’indagine interna, lavorando con
Oracle e tre società più piccole specializzate in sicurezza, che
hanno disegnato parte dei suoi sistemi, per capire che cosa non
abbia funzionato. I servizi online della giapponese dovrebbero
essere pienamente riattivati per la fine di maggio e i clienti
potrebbero essere risarciti con download gratuiti e 30 giorni di
servizi premium gratis, ha fatto sapere la Sony, assicurando anche
che i numeri delle carte di credito erano adeguatamente crittati e
sarà difficile per gli hacker utilizzarli. L’indagine
parallelamente avviata dall’Fbi conferma che non ci sono notizie
di frodi o furti condotti sulle carte di credito dei clienti
Sony.
Ma intanto l’intera industria dei giochi si interroga sulla
questione security. La vulnerabilità dei sistemi Sony così
drammaticamente messa a nudo riguarda solo la casa giapponese o
tocca tutto il mercato del download digitale dei giochi?
L’industria dei games sta attraversando oggi una fase di
trasformazione simile a quella vissuta dall’industria della
musica, nota il Wall Street Journal in un commento. In Gran
Bretagna, le vendite di software per console sono scese del 10,5%
dal 2009 al 2010 (e del 24% rispetto al 2008), per un valore di
1,45 miliardi di sterline, mentre le vendite di mobile games,
social games e digital download sono in pieno boom. Ma
l’esposizione dei dati personali di 77 milioni di persone
potrebbe portare a uno stop in questa sensazionale ascesa, rendendo
i consumatori molto più cauti nel mettere online le proprie
informazioni. Non solo quelle sulla carta di credito, che valgono
solo 5 centesimi sul mercato nero: quello che i criminali cercano
sono gli indirizzi fisici e di posta elettronica, le date di
nascita, le risposte alle domande segrete. Il Wall Street Journal
si chiede se oggi Sony sia ritenuta ancora affidabile come due
settimane fa e se i consumatori si sentano ancora tranquilli a
comprare giochi e effettuare download dai siti di Apple, Microsoft,
Zynga, Mind Candy.
Il Financial Times allarga lo sguardo domandandosi in generale
quanto sia affidabile Internet. Forse meno di quanto molti
consumatori pensino, se persino un colosso come Sony può cadere
vittima di un massiccio attacco hacker. Il vorace appetito delle
aziende di Internet per i dati non sempre si unisce a
un’altrettanto solida capacità di tenere queste informazioni al
sicuro, scrive il quotidiano finanziario in un editoriale. La
decisione di Apple di inserire il software di location-tracking nel
suo iPhone senza informarne i clienti ne è la prova: i dati
raccolti aiutano l’azienda a mandare pubblicità mirate sui
cellulari, ma il sistema rappresenta un’invasione della privacy e
un’inadeguata protezione dei dati personali. Apple, una volta
raccolti i dati, avrebbe dovuto proteggerli.
Altrettanto preoccupante l’attacco hacker alla Sony che ha messo
in pericolo dati di milioni di utenti e che evidenzia un vero
problema di sicurezza. Innanzitutto perché i consumatori spesso
non hanno remore a consegnare i propri dati personali alla Rete,
come fanno, ad esempio, su Facebook. E su molti altri siti, spesso
usando la stessa password. Ciò accade perché gli utenti si
fidano, a volte a torto, delle aziende e pensano che si occuperanno
di proteggere i loro dati.
La realtà, conclude il Financial Times, è che i consumatori non
si curano di proteggere le loro identità online e le aziende hanno
un interesse commerciale troppo forte a raccogliere il più alto
numero possibile di dati. L’avvento del social networking ha
esasperato questo trend. Le aziende ci incoraggiano a condividere
le informazioni, cosicché le impostazioni di default risultano
spesso contrarie ai principi della privacy. Ed ecco aperta la porta
alle vulnerabilità. Occorrerebbero chiare regole che stabiliscono
chi possiede quali informazioni e soprattutto dovrebbe essere più
facile per i consumatori cancellare quando vogliono le informazioni
che hanno messo su Internet. Gli utenti possono pure fornire i loro
dati privati in cambio di servizi, ma devono essere informati su
quello che fanno e comprendere a fondo le conseguenze di un
eventuale furto o perdita di tali dati.
