Rubati i dati di milioni di utenti del PlayStation Network

Dopo una settimana di notizie molto vaghe sulle cause che hanno portato offline PlayStation Network (PSN), Sony ha da poche ore confermato di aver subito un attacco informatico contro il proprio servizio multiplayer, che ha consentito ai suoi autori di entrare in possesso di numerosi dati personali degli iscritti a PSN compresi i numeri delle loro carte di credito. Il numero preciso di persone interessate dal furto dei dati non è ancora noto, ma si teme siano milioni considerato che il Network raccoglie oltre 70 milioni di iscritti e secondo gli analisti potrebbe trattarsi di uno dei più grandi casi di furto di informazioni personali nella storia di Internet.

PlayStation Network esiste dal 2006 e consente ai possessori di PlayStation 3 e di PlayStation Portable di ritrovarsi in un ambiente virtuale online per scambiarsi informazioni, confrontare i punteggi ottenuti ai videogiochi e sfidarsi direttamente in Rete, senza dover condividere lo stesso luogo o la medesima console. Il sistema offre anche una serie di servizi aggiuntivi per acquistare videogame, film e musica direttamente attraverso la connessione a Internet, utilizzando la propria carta di credito.

In seguito ad alcune attività sospette all’interno del proprio servizio, una settimana fa Sony ha deciso di sospendere l’intero Network, dichiarando di aver riscontrato alcuni problemi tecnici e di essere al lavoro per ripristinare in tempi brevi il sistema. Nei giorni seguenti la società ha continuato ad aggiornare gli iscritti al servizio con informazioni poco precise, ventilando la possibilità che PSN avesse subito un attacco informatico. L’ultimo aggiornamento pubblicato poche ore fa da Sony conferma i timori più grandi degli utenti di PSN: l’attacco informatico c’è stato e ha permesso ai suoi autori di entrare in possesso dei dati personali degli iscritti.

Sony ritiene che chi ha organizzato l’attacco informatico abbia ottenuto nomi, indirizzi, email, date di nascita, credenziali di accesso e numeri di identificazione degli iscritti a PSN. La società non esclude che altre informazioni come la cronologia degli acquisti effettuati nello store online del servizio e le password di sicurezza per acquistare i prodotti disponibili online siano finiti nelle mani degli autori dell’attacco.

È molto probabile, ma ancora da confermare, che anche i numeri delle carte di credito degli utenti siano stati sottratti da chi ha organizzato l’attacco. Sony raccomanda la massima cautela nei prossimi giorni agli iscritti che avevano anche fornito il numero della loro carta di credito. Gli utenti interessati potrebbero ricevere email e strane telefonate tese a ottenere maggiori informazioni per poter utilizzare le carte di credito. La società consiglia anche di monitorare il proprio conto corrente online e di chiedere un dettaglio delle ultime transazioni effettuate con carta di credito per evitare altre brutte sorprese, e bloccare l’erogazione del denaro se necessario.

Le associazioni a tutela della privacy, molto attive negli Stati Uniti, hanno criticato duramente Sony per aver impiegato quasi una settimana prima di avvisare gli iscritti a PSN sulla possibile perdita dei loro dati. Il sospetto è che la società avesse un quadro chiaro di quanto accaduto già alcuni giorni fa e che abbia temporeggiato prima di dare le conferme ufficiali. Probabilmente Sony non ha violato alcuna legge, negli Stati Uniti le norme non sono molto chiare sui tempi massimi entro i quali le società devono avvisare i propri clienti nel caso della perdita di dati sensibili che li riguarda, ma molti analisti ritengono che l’azienda giapponese avrebbe dovuto muoversi prima dando le informazioni necessarie alle decine di milioni di iscritti a PSN.

La speranza è che gli autori dell’attacco abbiano violato il sistema con il solo scopo di dimostrare la sua fragilità e non siano dunque intenzionati a utilizzare i dati ottenuti, come avvenuto già in passato in casi simili. Il fatto che l’obiettivo sia stato un servizio per i videogiochi online e non il sistema informatico di un istituto di credito fa ben sperare, dicono gli esperti, ma il furto di una quantità così grande di dati resta un problema, specialmente fino a quando non si scoprirà l’identità degli autori dell’attacco.

Sony non ha dato alcuna informazione sui possibili indiziati. Nei giorni scorsi si era ipotizzato un nesso tra l’azione contro PSN e la vicenda di George Francis Hotz (GeoHot), il giovane informatico che era riuscito a sbloccare la PlayStation 3, consentendo l’utilizzo di programmi non autorizzati da Sony sulla console (aveva fatto qualcosa di simile con gli iPhone). La società fece causa a GeoHot, ma le due parti raggiunsero infine un accorto extragiudiziale e secondo alcuni l’attacco sarebbe stato organizzato per vendicare Hotz, ma i principali indiziati del gruppo Anonymous hanno smentito.

Intanto, SonyPlaystation Network continua a essere offline in attesa dell’aggiunta di nuovi sistemi di sicurezza per essere meno vulnerabile agli attacchi informatici. Sony stima di rimettere in piedi il servizio entro una settimana e ricorda agli iscritti che, appena sarà nuovamente online, dovranno come prima cosa cambiare la loro password di accesso per evitare altre spiacevoli sorprese.