"Abbiamo scoperto che tra il 17 e il 19 aprile determinate informazioni degli account utente dei servizi Playstation Network e Qriocity sono state compromesse a causa di un'intrusione illegale e non autorizzata nella nostra rete". Con queste parole Sony ha ammesso che gli hacker (o cracker, per meglio dire) hanno fatto breccia nei propri servizi, sottraendo i dati sensibili di tutti gli utenti registrati. Si parla di oltre 70 milioni di persone.
"In risposta a questo evento abbiamo temporaneamente spento i servizi PSN e Qriocity. In seguito abbiamo ingaggiato un'azienda di sicurezza esterna per condurre un'indagine completa su quanto avvenuto e compiuto i passi necessari per migliorare la sicurezza e rafforzare l'infrastruttura di rete, ricostruendo il nostro sistema per offrire maggiore protezione ai vostri dati personali. Faremo quanto necessario per risolvere questi problemi nel modo più rapido ed efficiente possibile".
Secondo Sony chi ha eseguito l'attacco - gli Anonymous si sono chiamati fuori - potrebbe essere entrato in possesso delle seguenti informazioni: nome, indirizzo (città , stato, codice postale), paese, email, data di nascita, password e login di PSN/Qriocity e PSN online ID. "Potrebbe aver ottenuto anche i dati del vostro profilo - inclusa la cronologia degli acquisti - l'indirizzo di fatturazione e le risposte di sicurezza per il recupero della password di PlayStation Network/Qriocity. Se avete autorizzato un sotto-account per un vostro dipendente, potrebbero essere stati sottratti gli stessi dati".
Al momento Sony afferma che non ci sono prove che i dati sulle carte di credito siano stati rubati, anche se non può escludere questa possibilità . "Se avete fornito i dati della carta di credito tramite PlayStation Network o Qriocity, vi consigliamo molta cautela perché il numero (escluso il codice di sicurezza) e la data di scadenza potrebbero essere stati sottratti".
L'azienda ha dichiarato che "non contatterà gli utenti in alcun modo" per chiedere informazioni personali, quindi diffidate da qualsiasi email, telefonata o quant'altro che riconduca a Sony e a questa vicenda. Potrebbe trattarsi di un tentativo di raggiro per scucirvi ulteriori dati sensibili.
"Al ripristino dei servizi vi consigliamo di collegarvi e modificare la vostra password. Inoltre, se usate username e la password per altri servizi o account, vi raccomandiamo di fare altrettanto". Molti di noi usano le stesse password per gestire più account sul Web, quindi un malintenzionato potrebbe sottrarvi il controllo della posta su Gmail, dell'account di Facebook o quant'altro. Al momento Sony sottolinea di non aver ricevuto notizie sull'uso improprio di questi dati.
L'azienda sta conducendo altre indagini e per questo motivo non ha voluto rivelare dettagli su questa clamorosa intrusione. Com'è avvenuto l'attacco? Qual era il punto debole dell'infrastruttura? Lo sapremo probabilmente solo con il ripristino del servizio che, al momento, rimane offline per il settimo giorno di fila. Forse ritornerà online in una settimana.
L'azienda ha anche promesso di essere impegnata a studiare una qualche forma di rimborso per questo problema e ha promesso ad alcune software house, specie quelle più piccole, che le terrà nelle prime posizioni del PSN in modo che possano rientrare del danno subito. Sony ha voluto inoltre spiegare perché ha aspettato sette giorni per rendere pubbliche maggiori informazioni.
"C'è differenza tra il momento in cui abbiamo identificato l'intrusione e scoperto che i dati degli utenti erano stati compromessi. L'intrusione si è verificata il 19 aprile e in seguito abbiamo spento i servizi. Abbiamo preso contatto con esperti esterni per capire com'è avvenuta l'intrusione e condurre un'indagine per determinare la natura e lo scopo dell'attacco. Erano necessari diversi giorni di analisi forensi, che hanno impegnato gli esperti fino a ieri. Successivamente abbiamo condiviso queste informazioni con i clienti e fatto un annuncio pubblico".
Sony ha concluso dichiarando che intende procedere con tutti i mezzi per perseguire gli hacker che si sono "macchiati" di questo attacco. Il danno però è stato fatto. Non tanto per quel che riguarda l'uso dei dati sottratti, su cui al momento non ci sono notizie, quanto per la credibilità dell'azienda. Dan Olds, analista di The Gabriel Consulting Group, ritiene che le conseguenze di questa figuraccia mondiale potrebbero essere pesanti.
"È uno scenario da incubo […], non solo sono stati attaccati, ma sono offline da quasi una settimana. Inoltre, non sanno quanto sia esteso il danno. Non possono sapere se i dati personali o i numeri delle carte di credito sono stati rubati. […] Questo incidente è un duro colpo per la fiducia che intercorre tra i clienti e Sony".
Inutile dire che Sony rischia di subire ripercussioni sia per quanto riguarda il business online che sulla vendita di console.