Desde o dia 20/04 que os usuários da PlayStation Network (PSN) não conseguem acessar os seus jogos online. Após um longo período de silêncio, a Sony resolveu se pronunciar oficialmente e comunicou que o motivo pelo qual a rede está offline é porque foi invadida por hackers, e que vários dados pessoais dos usuários cadastrados foram obtidos.
Pelas informações divulgadas pela Sony, dados como nome, endereço, e-mail, data de nascimento, nome de usuário e senha da conta na PSN foram obtidos pelos hackers. Adicionalmente, a Sony ainda afirma que não descarta a possibilidade dos números de cartão de crédito dos usuários também terem sido roubados. Entretanto, a empresa afirma que por enquanto (leia-se aparentemente) os códigos de segurança dos cartões não foram obtidos.
Como medida de precaução e segurança, a Sony foi forçada a desligar temporariamente a PSN e a Qriocity, e contratou uma empresa especializada em segurança forense para conduzir uma investigação sobre o incidente. Para sanar as falhas de segurança, a empresa afirma também que está reescrevendo todo o código da PSN, para que a rede possua um maior nível de proteção e segurança (uma ação um tanto quanto atrasada e reativa).
A recomendação para os usuários é a mesma de sempre, ou seja, redobrar a atenção em relação a qualquer tipo de comunicação que solicite informações pessoais (e-mail, telefone, etc), uma vez que a Sony não irá entrar em contato e solicitar quaisquer dados pessoais seus. Para os usuários que possuiam os seus cartões de crédito cadastrados na PSN, a recomendação é monitorar as transações dos cartões cadastrados para evitar possíveis fraudes. O ideal seria o cancelamento de todos esses cartões, mas é pouco provável que todos os usuários façam isso.
Muito me espanta uma empresa do porte da Sony não possuir os padrões de segurança adequados para proteger os seus sistemas e os dados de seus clientes. Nesse caso específico, se a Sony processa e armazena dados de cartões de crédito, ela está sujeita ao PCI-DSS (Payment Card Industry, Data Security Standard), regulamentação de segurança específica para empresas que processam e armazenam dados de cartões de crédito, e criada justamente para proteger os dados dos clientes. Para ficar em conformidade com a regulamentação, a Sony deveria cumprir os 12 requerimentos de segurança descritos na regulamentação, passar por um processo de auditoria e ser aprovada. Não estar em conformidade com a PCI-DSS pode incorrer em multas e até em descredenciamento em aceitar cartões de crédito.
Com certeza, essa história ainda está longe de acabar tanto para os hackers, como para a Sony.
Maiores informações estão disponíveis no blog do PlayStation.
