La notizia che tutti volevano sentire non è arrivata: il PlayStation Network è ancora fermo. La notizia che nessuno avrebbe voluto sentire, invece, è piombata sugli utenti tra capo e collo come uno schiaffo: tutti i dati archiviati sui server Sony sono stati trafugati e sono ora nelle mani dei malintenzionati che, tra il 17 ed il 19 aprile scorso, sono riusciti ad accedere al sistema.
Il pericolo è ora grave e tutto quel che Sony può fare in questa fase è evitare che il problema possa ripetersi. La frittata è però ormai fatta: la sicurezza degli utenti è tutta nelle loro mani e la diffidenza è l’unico antidoto da opporre al rischio.
Il comunicato Sony è chiaro: «riteniamo che un soggetto non autorizzato abbia ottenuto le seguenti informazioni da voi fornite in precedenza: nome, indirizzo (città, stato/provincia, codice postale), nazione, indirizzo email, data di nascita, password, login e online ID di PSN/portatile. Inoltre è possibile che i dati del vostro profilo siano stati rilevati, inclusi la cronologia degli acquisti e l’indirizzo di addebito (città, stato/provincia, codice postale). Se avete autorizzato un sub-account per un vostro familiare, vi informiamo che gli stessi dati relativi possono essere stati rilevati. Nonostante non ci sia prova che i dati della vostra carta di credito siano stati presi in questa circostanza, non possiamo escludere tale possibilità. Se avete fornito i dati della vostra carta di credito tramite PlayStation Network o Qriocity, per sicurezza vi informiamo che il numero della vostra carta di credito (escluso il codice di sicurezza) e la data di scadenza possono essere stati rilevati».
Password a rischio
Occorre considerare un dato statistico fondamentale: gran parte delle password utilizzate online sono o estremamente semplici, oppure relative ad una data, oppure ancora ripetute su più servizi. Perdere i dati con cui ci si è registrati al PlayStation Network, quindi, può essere estremamente pericoloso anche per il proprio account Facebook, così come per il proprio account email, così come per ogni altro account online. La perdita di dati ulteriori quali nome, indirizzo e cronologia degli acquisti (con tanto di indirizzo di addebito) consegna ai cracker anche una identificazione più precisa del soggetto, autorizzando sistemi truffaldini ulteriori ancor più pericolosi. E poi c’è la carta di credito: la fuga di questi dati è l’anello più debole dell’intera catena, perché trattasi in questo caso di informazioni direttamente monetizzabili. Ed il tutto, va ricordato, su una community di decine di milioni di utenti in tutto il mondo.
Le conseguenze
I cracker hanno ora di fronte una duplice possibilità: vendere i dati raccolti al miglior offerente tramite appositi canali di commercio underground, oppure agire direttamente sugli utenti tentando di proporre direttamente le proprie proposte truffaldine per trasformare i dati in moneta. La prima via è meno redditizia, ma il risultato è assicurato; la seconda è più rischiosa, ma gli esiti potenzialmente devastanti.
Nemmeno la minaccia Sony potrebbe essere sufficiente per sminuire il rischio: «Vi informiamo che siamo arrabbiati quanto voi riguardo a questo attacco e abbiamo intenzione di rispondere aggressivamente per trovare e punire i responsabili». Finora, però, i cracker mettono in cassa una vittoria senza precedenti, mentre per Sony inizia il momento più difficile: ora si gioca a carte scoperte ed è chiaro il fatto che il gruppo sia rimasto senza difese.
9 giorni di ritardo
Sony ha datato l’attacco indicandone l’origine tra il 17 ed il 19 aprile scorso. A distanza di 9 giorni circa il PlayStation Network è ancora fermo ed il motivo è oggi oltremodo chiaro: non era possibile riavviare il sistema senza prima aver fatto quanto necessario per mettere al riparo i dati sensibili ospitati. A distanza di 9 giorni, però, il problema principale è proprio nel fatto che i malintenzionati hanno avuto in mano a lungo i dati degli utenti senza che questi ultimi ne fossero a conoscenza. La colpa più grave per Sony è oggi quella del silenzio, quella di 9 giorni passati ad implorare pazienza per la riattivazione del network senza mai ammettere pubblicamente ciò che stava succedendo.
In 9 giorni il cracker ha già potuto agire indisturbato proponendo ipoteticamente email di spam particolarmente efficaci, oppure operando transazioni sulle carte di credito, oppure agendo con truffe mirate sugli utenti identificati. E gli utenti, di fronte a tutto ciò, non avrebbero potuto opporre alcuna resistenza perché soltanto oggi, 9 giorni più tardi, vengono a sapere che un database di enorme valore potenziale è stato trafugato consegnando in mani non sicure tutti i dati di 70 milioni di persone.
Cosa fare?
Gli utenti PlayStation Network (e Qriocity) dovranno ora agire con massima solerzia ed attenzione, ma soprattutto in modo radicale: è il momento in cui non bisogna lasciar spazio alcuno al rischio e per far ciò occorre pianificare un intervento immediato.
- Controllare la propria carta di credito: bisogna verificare che non siano avvenute transazioni sconosciute, per quanto piccole, e bisogna attivare eventuali alert in grado di notificare immediatamente eventuali spese;
- Controllare la propria casella di posta elettronica: bisogna immediatamente cambiare password ed evitare di utilizzarne una facilmente ipotizzabile. Se questa regola è generalmente valida in ogni caso, in questa situazione diventa una necessità immediata: la password sia lunga, composta di lettere e numeri, contenga possibilmente una componente casuale e sia dissociata da nome e data di nascita. Soprattutto, la password sia unica per i servizi che si utilizzano online. Se i malintenzionati entrano in possesso della casella di posta potrebbero utilizzarla come motore di spam, mettendo peraltro a rischio i contatti degli utenti truffati;
- Controllare i propri account sui vari social network: Facebook, Twitter e simili potrebbero essere utilizzati come motore di spam al pari delle caselle di posta, e tutto ciò in modo estremamente efficace poiché su canali nei quali le difese di fronte al rischio sono generalmente basse;
- Alzare il livello generale di diffidenza. Per qualche tempo diffidare di ogni messaggio ricevuto: che sia una email o una lettera cartacea, che sia un aggiornamento di stato o una notifica, occorre sempre verificare la veridicità del messaggio senza rispondere o senza cliccare con troppa leggerezza sui link ricevuti.
La situazione è di rischio assoluto ed occorre pertanto prestare tutta l’attenzione dovuta. A mali estremi, estremi rimedi: ma questi ultimi li deve mettere in campo direttamente l’utente, l’unico elemento in grado di garantire davvero la sicurezza di sé stesso.