A Sony admitiu, após sete dias de espera, que os dados que armazenava dos usuários do PlayStation Network PSN (rede online de jogos da Sony) e do Portal de venda de música Qriocity, haviam sido acessados e copiados por um “invasor externo”. Além de tirar do ar os serviços, o “invasor” furtou dados pessoais dos usuários cadastrados e financeiros relativos aos cartões de crédito, embora a empresa tenha admitido que estes dados estariam criptografados.
O retorno das operações está previsto para o dia 4 de maio, pois a Sony está reconstruindo a rede PSN, que será liberada junto com uma atualização de firmware para o PS3, deixando os consoles compatíveis. Segundo informa o site INFO, a base de dados da PSN irá mudar, deslocando servidores e equipamentos para uma nova área. Este é um dos motivos da demora para a normalização do serviço.
Enquanto isto, no blog oficial do PlayStation, a Sony publicou uma lista com perguntas e respostas para os usuários e, ainda, informa que uma empresa especializada em segurança está auxiliando na investigação do problema.
Estima-se que este incidente tenha sido o de maiores proporções relativo ao vazamento de dados de cartões de crédito de usuários em rede. Aproximadamente 77 milhões de pessoas foram afetadas e estão correndo risco de serem vítimas de fraudes eletrônicas.
Segundo Larry Ponemon, fundador e presidente do Ponemon Institute (especializada em proteger informações armazenadas em redes de computadores), o roubo poderia custar mais de 1,5 bilhão de dólares à Sony, o equivalente a uma média de 20 dólares para cada um dos 77 milhões de usuários cujos dados podem ter sido comprometidos.
É provável que os prejuízos não se limitem a queda das ações da Sony, mas também afete a crediblidade da sua reputação no concorrido mercado de jogos online, bem como os danos à sua marca. De acordo com reportagem da revista Forbes, o prejuízo da Sony com o vazamento desses dados poderia ultrapassar os 24 bilhões de dólares.
Há suspeitas quanto a um eventual relacionamento com outro fato ocorrido recentemente. Em princípio de abril, o site de fãs de videogame PlayStation Lifestyle informou que um grupo que se denomina Anonymous havia conduzido ataques contra páginas e serviços online da Sony, como vingança contra os esforços da empresa para reprimir os hackers.
“Escolher um taco de beisebol para um ninho de vespas, nunca seria uma estratégia recomendável e a estratégia da Sony para defender sua propriedade intelectual foi desajeitada e provocou uma “opção nuclear”, disse Phil Lieberman, especialista em segurança na computação.
Segundo o site Techno News, o ataque à rede online de jogos da Sony foi do tipo Denial of Service, ou seja, de negação de serviço (também conhecido como DoS). É uma tentativa em tornar os recursos de um sistema indisponíveis para seus utilizadores. Os alvos típicos são servidores web e visam tornar as páginas hospedadas indisponíveis na internet.
Não se trata de uma invasão do sistema, mas sim da sua invalidação por sobrecarga de acessos. Os ataques de negação de serviço são feitos geralmente de duas formas:
1. Forçar o sistema vítima a reinicializar ou consumir todos os recursos (como memória ou processamento por exemplo) de forma que ele não pode mais fornecer seu serviço.
2. Obstruir a mídia de comunicação entre os utilizadores e o sistema vítima de forma a não comunicarem-se adequadamente.
Conforme já noticiado pelo site IDGNow, os usuários da Playstation Network já começaram a reportar fraudes em cartão de crédito com compras, saques não autorizados e cobranças fraudulentas. Na Califórnia, o site especializado em games “IGN” já está processando a Sony por conta da invasão de hackers à rede de games online.
No Brasil a situação se difere, pois a Sony não dispõe de acesso ao serviço dentro do território nacional. Este controle é identificado a partir do número IP da máquina que tenta o acesso. A empresa barra o cadastramento de usuários brasileiros detectando o IP de origem daquela máquina que tenta se cadastrar. O que significa que usuários que tentam acessar o serviço no Brasil, a princípio poderiam estar salvos quanto a qualquer risco relacionado a violação de seus dados em decorrência desta restrição que a própria Sony exerce.
Em contrapartida, os brasileiros que possuem cartão de crédito internacional ou algum registro de endereço nos Estados Unidos, que poderiam, assim, driblar a restrição cadastral e efetivar o registro no PSN, correriam algum risco em relação à violação dos dados do seu cartão de crédito.
Para os que fazem parte desse grupo, a recomendação é de monitorar as transações que são registradas no seu cartão de crédito. Diante de qualquer circunstância em que se caracterize alguma irregularidade, entrar imediatamente em contato com a central do seu cartão de crédito, comunicando-lhe que possui cadastro na PlayStation Network e que está vulnerável a eventuais fraudes.
Isto não significa que os usuários terão direito de reivindicar reparação de danos na Justiça Brasileira. Segundo o Termo de Serviço da Rede PSN, o sistema não está disponível no Brasil e qualquer declaração de um usuário que acessa a partir do território nacional pode gerar, inclusive, a hipótese de falsidade dos dados cadastrais, ocasionando ilegitimidade para propor uma ação indenizatória.
Portanto, ao brasileiro que acessa a Rede Playstation Network ou Qriocity, a partir do território nacional, utilizando um IP originário neste país, que tenha burlado o seu cadastro ao colocar informações falsas acerca de si próprio, com violação das condições previstas no Terno de Serviço, para ter acesso aos serviços da Sony, não é recomendável que busque reparação de danos com suporte na legislação brasileira, devido à restrição do acesso a este serviço em nosso país.