(Por El Microsaurio) Sony que me hiciste mal pero sin embargo te quiero… Es lo que dirán cien mil usuarios argentinos de la PlayStation Network, entre los casi cien millones de clientes de Sony cuyos datos fueron robados. Parece que no había un responsable de Seguridad de la Información. No sé si es el mayor robo de datos personales de la ciber-historia, pero le debe pegar cerca. Si querés saber cómo los perjudicó el ataque a un datacenter, arrimate…
Tema de discusión: alguien entró sin permiso a varios servidores propiedad de Sony. Se llevó los datos de 78 millones de clientes del PlayStation Network y de 24 millones de clientes de Sony Online Entertainment. Además de los datos típicos de identificación (nombre/apellido, nombreusuario/password) de todos, los atacantes se llevaron los datos de tarjeta de crédito de unos 10 millones de usuarios de PSN, números de 12.700 tarjetas de crédito más los números de (presten atención) código para débito automático, número de cuenta bancaria, domicilio real usado para la cuenta bancaria, nombre de cliente bancario, esto último de 10 mil usuarios de Austria, Alemania, Holanda y España. Los usuarios argentinos serían 101.269, según esta planilla publicada por el website francés Play3-Live.
Los damnificados, según informó Sony, están siendo notificados por email (fijate que son casi cien millones de mensajes…)
Hagamos un resumen de datos, y luego algunas reflexiones.
- Lugar del ataque: un datacenter en San Diego, EE UU, que según fuentes sería manejado por ATT, donde hay equipos propiedad de Sony.
- Fecha de la irrupción: hay rastros de ingreso indebido desde el 16 hasta el 19 o 20 de abril, en que alguien dentro del datacenter se da cuenta y corta el servicio.
- Fecha de información al público: hubo varias filtraciones, dado que los websites estuvieron offline (y todavía no se puede ingresar para jugar o hacer compras) y un anuncio oficial el día 27 de abril, pero la conferencia de prensa donde se da la mayoría de los datos, y la empresa pide disculpas al público, se hizo el 1 de mayo.
Ahora las reflexiones:
- No sé si es el mayor robo de datos personales de la ciber-historia, pero le debe pegar cerca.
- En declaraciones públicas la empresa informa que luego del incidente “van a crear el cargo de Chief Information Security Officer, y esa persona estará directamente debajo de Shinji Hasejima, el actual Chief Information Officer”. En criollo: Sony, o esa parte de los negocios de Sony, no tenía un responsable de Seguridad de la Información. Ah, bueno.
- El movimiento económico (gastos online realizados por los clientes) dentro de esos servers era de varios (muchos) millones de dólares anuales.
- El datacenter donde estaban los datos personales y/o bancarios de cien millones de usuarios estaban (parece) tercerizados. Como yo he visitado algún datacenter argentino donde están algunos servidores de algunos bancos (con menos de cien millones de depositantes) creo que sí se puede tercerizar, pero habría que ver cómo se lo hace.
- La mayoría de la información no estaba criptografiada. Los password no estaban criptografiados.
- El sistema de detección de intrusiones no detectó nada durante días.
- El ataque se inició un sábado en el área de Sony Online Entertainment, siguió el domingo, en que pasaron a PlayStation Network durante el lunes y martes, los detectaron entre martes y miércoles.
- La puerta de entrada podría ser una “característica” dentro del sistema de la PS3, que está constantemente comunicándose con los servidores de la empresa mientras el cliente juega. Bah, mientras tenga la PS3 conectada a Internet.
Basta por hoy. Me imagino que los damnificados locales estarán comunicándose con sus bancos, para ver si hay cargos inexplicables dentro de sus resúmenes de tarjeta. Tal vez sería mejor dar de baja la tarjeta que usaron en PSN y pedir otra.
Volveremos sobre el tema cuando haya más novedades.