PlayStation Network, nuovo allarme (update 4)

La notizia sembra avere dell’incredibile: le procedure di ripristino degli account per gli utenti PlayStation Network potrebbero non essere sicure, il che renderebbe vano l’intervento Sony a tutela delle password e soprattutto aprirebbe una nuova falla nella sicurezza del sistema nel suo complesso.

Update: la notizia è confermata.

Secondo quanto emerso, sarebbe possibile infatti per un utente qualsiasi appropriarsi dell’account altrui conoscendo semplicemente il suo indirizzo email e la sua data di nascita. L’attacco sarebbe stato dimostrato ad alcuni siti che ora ne confermano la bontà, precisando come ogni singolo utente PSN possa essere potenzialmente a rischio: l’account potrebbe essere sottratto in qualsiasi momento seguendo semplicemente un hack applicato alle procedure di ripristino della password.

Per capire il problema occorre compiere un rapido excursus di quanto accaduto: alcuni cracker anonimi hanno attaccato i server Sony; Sony ha spento i server per tre settimane nel tentativo di ripristinare la sicurezza del sistema; Sony ha riavviato il PSN ed altri servizi costringendo gli utenti ad un aggiornamento del firmware ed al cambio della password sul proprio account. Quest’ultima procedura è in corso in queste ore da parte degli utenti desiderosi di tornare a giocare sul network, ma in questa fase interviene il nuovo possibile intoppo.

Secondo quanto indicato da coloro i quali hanno sperimentato dal vivo l’hack portandone in seguito online la propria testimonianza, un bug nella procedura consente a chiunque di impossessarsi dell’account altrui conoscendone soltanto pochi dettagli. I cracker che hanno violato i server Sony, nella fattispecie, avrebbero in questa fase nuovamente accesso a qualsivoglia account sfruttando semplicemente i dati personali dell’utente, senza la necessità della password (che Sony ha precauzionalmente annullato).

Il problema sarebbe già stato segnalato a Sony, la quale avrebbe disattivato per circa 15 minuti i moduli di sign-in sui propri siti Web presumibilmente per intervenire sul problema prima che si potesse generare un nuovo attacco di massa ai danni della community. Il consiglio agli utenti in questa fase è quello di completare la riattivazione del proprio account badando a modificare l’email in uso, così che possa essere più difficile forzare l’accesso dopo il cambio della password.

Update
Sony ha confermato i problemi in corso: in questa fase è possibile effettuare il sign-in al PlayStation Network tramite console, ma non è possibile effettuare il necessario cambio della password per il ripristino dell’account a causa dell’intervento in corso a correzione del bug.

Update 2
“We apologize for the inconvenience. Please try again later”: il messaggio avvisa gli utenti del problema in corso e Sony al momento non ha saputo indicare i tempi previsti per l’intervento correttivo. In Italia il tentativo di accesso a PlayStation.com porta invece il seguente messaggio di errore:

PlayStation Network non è attualmente disponibile. Ciò potrebbe essere dovuto a ragioni diverse, fra cui attività di manutenzione programmate o aggiornamenti importanti. Ci scusiamo per l’inconvenienza causata.

Update 3
I siti sui quali si segnala il blocco della procedura a causa dell’exploit emerso sono i seguenti:

• PlayStation.com
• PlayStation forums
• PlayStation Blog
• Qriocity.com
• Music Unlimited via client web

Ferme anche le procedure di ripristino della password per gli utenti i quali non avessero già provveduto nelle scorse 48 ore in seguito al riavvio del network.

Update 4
Sony spiega che il problema non è relativo ad un attacco al gruppo, quanto piuttosto ad un URL exploit che sta per essere risolto. Le procedure di sign-in online rimangono momentaneamente non disponibili, mentre è possibile procedere con il reset delle password tramite console PS3.