Mondo
Gli hacker che hanno colpito il PlaStation Network sono in possesso dei dati personali degli utenti – nome, Indirizzo, indirizzo email, data di nascita, login, password e ID online per PlayStation Network/QRiocity – e dei numeri di circa 2,2 milioni di carte di credito. E’ quanto sostiene Kevin Stevens della società Trend Micro, che lo avrebbe appreso dalle discussioni su alcuni forum frequentati dalla comunità hacker.
Stevens afferma che gli hacker sono in possesso di un database contenente le informazioni sottratte a Sony e che starebbero tentando di vendere la lista con i numeri delle carte di credito per una cifra intorno ai 100 mila dollari. Un membro del forum avrebbe anche rivelato che gli hacker avrebbero provato a rivendere i dati a Sony, ma non avrebbero ottenuto risposta.
Anche se molti ricercatori hanno confermato la veridicità delle discussioni, è stato impossibile appurare l’esistenza del database.
il portavoce di Sony, Patrick Seybold, ha smentito che alla società siano giunte richieste da parte degli hacker. “I dati delle carte di credito erano protetti e non abbiamo ancora le prove che anche queste informazioni siano state sottratte”, ha affermato. Ciò nonostante Sony non ha potuto escludere tale possibilità.
Secondo il consulente in sicurezza Mathew Solnik della iSEC Partners, “le persone sul forum sostiene di essere in possesso del database e conosce sicuramente numerosi dettagli sui server della Sony, il che lascia pensare che abbiano diretta conoscenza dell’attacco, anche se Sony sta dicendo che i dati erano protetti”.
Solnik sostiene quindi che gli hacker avrebbero sferrato il loro attacco guadagnando l’accesso al database Sony violando la PlayStation 3 e quindi penetrando nei server della società.
Nel frattempo, Trend Micro ha pubblicato un vademecum per aiutare a proteggersi: la società suggerisce innanzitutto agli utenti – principalmente a coloro i quali usano la stessa password per più siti – di cambiare abitudini e di modificare le password.
“Gli hacker in questo caso sono in possesso di email, password, e probabilmente anche le risposte alle domande di sicurezza, generalmente anch’esse riutilizzate”, ha spiegato Rik Ferguson, Director Security Research & Communication Trend Micro EMEA.
“Si può creare – indica quindi Ferguson – una password complessa usando caratteri minuscoli e maiuscoli, numeri e caratteri speciali come $%&!. Dopodiché bisogna trovare un modo per differenziare la password per ciascun sito utilizzato, ad esempio inserendo le prime e ultime lettere del nome del sito in questione, all’inizio e alla fine della password creata, rendendola unica ma allo stesso tempo facile da ricordare”.
Dal momento che anche le domande di sicurezza o quelle per il reset delle password rappresentano uno dei modi più facili per violare un account, quando ci si trova a dover fornire questo tipo di risposte, ci si deve chiedere se siano davvero sicure.
“Per essere sicure significa che solo un determinato utente può essere in grado di rispondere. Se vi è la possibilità di creare autonomamente le domande, è meglio sfruttare questa opzione. Al contrario, se si è obbligati a rispondere a domande standard preconfezionate come ad esempio ‘il nome della prima scuola’ o ‘Il nome del primo animale domestico’, bisogna ricordarsi che la risposta non deve essere quella vera, ma semplicemente qualcosa che risulti semplice da memorizzare”, suggerisce ancora Ferguson, ricordando agli utenti che ritengono di essere coinvolti nell’affaire Sony di tenere d’occhio il proprio conto corrente per monitorare eventuali movimenti anomali.
