Sony si è scusata con i propri clienti per il furto dei dati di circa 78 milioni di utenti PSN e Qriocity - molti sono doppi - e ha spiegato cosa farà per ridurre al minimo l'impatto di questo increscioso incidente, rimborsare i consumatori e far sì che una simile vicenda non si ripeta in futuro.
Kazuo Hirai, amministratore delegato di Sony Corporation, ha tenuto una conferenza stampa nella mattinata di domenica, affiancato da due alti dirigenti, Shinji Hasejima e Shiro Kambe. L'azienda è innanzitutto tornata sull'accaduto: c'è stato un attacco cyber-criminale al data center di San Diego, in California, che ha portato al furto informatico del secolo.
"Questo atto criminale contro la nostra rete ha avuto un impatto rilevante non solo per i nostri consumatori, ma anche sul nostro settore. Questi attacchi rendono evidente il diffuso problema della cyber-sicurezza. La sicurezza dei dati dei nostri consumatori ci sta molto a cuore e siamo impegnati ad aiutare i clienti a proteggere i loro dati personali. Abbiamo lavorato giorno e notte per portare questi servizi di nuovo online, e stiamo verificando un aumento dei livelli di sicurezza sulle nostre reti. […] Stiamo cercando di riguadagnare la fiducia dei clienti in noi e nei nostri servizi", ha dichiarato Kazuo Hirai.
L'attacco si è svolto tra il 17 e il 19 aprile e non appena è stato rilevato l'accesso non autorizzato, gli esperti hanno subito capito che dietro a quest'azione c'era una persona molto preparata (tanto da coprire le tracce del proprio passaggio). Il 20 aprile Sony ha quindi spento i servizi Playstation Network e Qriocity, interpellando ben tre aziende esterne per svolgere le indagini e determinare l'accaduto. Solo dopo aver ricostruito la dinamica di quanto successo e valutati i potenziali danni, l'azienda ha allertato i clienti e il pubblico.
Secondo quanto dichiarato da Kazuo Hirai sono state sottratte molte informazioni, ma non c'è la certezza che i numeri, le date di scadenza o gli indirizzi di fatturazione delle carte di credito siano finiti nelle mani del cyber-criminale. L'azienda ha dichiarato di non avere notizie certe su possibili frodi già in corso, ma ha svelato che nel proprio database c'erano dieci milioni di carte di credito registrate (contrariamente a precedenti notizie, il numero a tre cifre dietro alla carta, richiesto per gli acquisti su internet, non sarebbe tra i dati rubati). Nei giorni scorsi - vale la pena ricordarlo - ci sono state notizie sulla presunta vendita dei dati di 2,2 milioni di utenze sul mercato nero.
A ogni modo Sony ha fatto sapere che "considererà " se rimborsare i costi di eventuali nuove carte di credito sostenuti dai propri clienti. L'azienda ha consigliato comunque di tenere sotto controllo i conti e di modificare le password su altri siti Web su cui si è adottata la medesima del PSN.
Un milione e mezzo di account PSN di marca italiana
Chi è stato a intrufolarsi nella rete del colosso nipponico? Per ora non si sa. L'azienda ha confermato gli attacchi degli Anonymous, avvenuti nelle settimane precedenti, ma non ci sono prove che siano stati loro. Il gruppo di hacker ha negato ogni coinvolgimento in questa vicenda (PSN offline, gli Anonymous si dichiarano innocenti).
Per scusarsi del grave disagio, Sony ha presentato il programma "Welcome Back" sul PlayStation Network e Qriocity. Gli utenti di ogni regione mondiale potranno godere di offerte selezionate dei contenuti disponibili in forma di download gratuiti. I dettagli specifici di questi contenuti saranno resi noti al più presto.
Tutti i clienti iscritti al PlayStation Network avranno 30 giorni di abbonamento gratuito al servizio PlayStation Premium Plus. Gli attuali membri riceveranno 30 giorni di servizio gratuito. Music Unlimited powered per abbonati Qriocity (nei paesi dove il servizio è disponibile), riceveranno 30 giorni di servizio gratuito. Sony offre così un "rimborso" per il disagio agli utenti e allo stesso tempo consente a tutti di provare il servizio Plus, sperando che qualche utente decida di abbonarsi (anche se è tutta una questione di fiducia, ora come ora).
La situazione dovrebbe tornare progressivamente alla normalità entro un mese, da questa settimana. L'azienda procederà al ripristino graduale dei servizi, una regione dopo l'altra. Per prima cosa sarà ripristinata la possibilità di giocare online su PS3 e PSP, poi saranno implementate le tecnologie per i titoli che richiedono la verifica online e i giochi scaricati.
In seguito sarà riattivato l'accesso a Music Unlimited powered by Qriocity per PS3/PSP, all'account di gestione e reimpostazione della password e l'accesso per scaricare film su PS3, PSP e MediaGo. Infine, Sony prevede di ristabilire il servizio PlayStation Home, la lista amici e la chat.
Un diagramma che mostra la dinamica dell'attacco
Per evitare che un fattaccio simile avvenga nuovamente, l'azienda implementerà nuove misure di sicurezza. Sony sta creando la posizione di Chief Information Security Officer, a diretto rapporto di Shinji Hasejima, Chief Information Officer di Sony Corporation, aggiungendo una nuova posizione di responsabilità per la protezione dei dati del cliente, e per completare il personale di sicurezza delle informazioni.
Il nuovo data center è stato spostato, da San Diego a un nuovo posto con un livello di sicurezza molto più elevato. Sony ha deciso che tra le nuove misure di sicurezza ci saranno "il controllo automatico del software e la gestione della configurazione per la difesa contro i nuovi attacchi, un livello migliore di protezione dei dati e crittografia, una maggiore capacità di rilevare le intrusioni di software all'interno della rete, accesso non autorizzato, modelli di attività insolite e l'implementazione di un maggior numero di firewall".
Al ripristino dei servizi la PS3 sarà aggiornata e obbligherà tutti gli utenti del PlayStation Network a cambiare la password del loro account prima di poter accedere ai servizi. La password potrà essere modificata solo sulla stessa PS3 in cui è stato attivato l'account, o tramite un'email di conferma convalidata.