Posted by Marcelo Bulgueroni in Sem categoria on 05 14th, 2011 | 
A gigante Sony encontra-se em meio a um dos momentos mais lesivos de sua existência. Não foi o Betamax que perdeu para o VHS, nem o hacker que conseguiu quebrar as proteções de Gestão Digital de Direitos do PlayStation 3. Algo muito pior ocorreu.
A invasão da PlayStation Network (PSN) por um usuário não autorizado em meados de abril de 2011 levou-a a simplesmente desligar a rede na qual é baseado todo o sistema de jogatina on-line via PlayStation, assim como o sistema de compras eletrônicas de novos jogos, músicas e conteúdos para os proprietários de PlayStation 3. Desligada a PSN em 20 de abril de 2011, os usuários da rede receberam um singelo e-mail da Sony informando o porquê de ela estar fora do ar (invasão), mas em meio às palavras técnicas recebidas, um parágrafo chamava a atenção.
“Está tudo bem, estamos trabalhando rápido para que a PSN possa voltar a funcionar, mas pode ser que os invasores tenham tido acesso a dados pessoais do usuário, como: login, senha, endereço, número e códigos do cartão de crédito, entre outros”. Em suma: todos os dados, de cada usuário da PSN, foram acessados e provavelmente copiados. Apesar do cartão de crédito preocupar de imediato, mais perigosa é a combinação de e-mail e senha que foi baixada. Mas, pergunta-se, a senha não é criptografada? Bem, neste caso, infelizmente…. não.
O calcanhar de Aquiles
Talvez a Sony estivesse confiante demais da segurança dos seus sistemas. Talvez estivesse mais preocupada em vender conteúdos que em garantir a segurança de seus usuários. Mas nada explica o que só pode ser traduzido como incompetência pura: dados confidenciais, especialmente a senha de acesso dos usuários, armazenados em formato plaintext – como o próprio nome diz, “texto puro” (para entender mais sobre isso, sugiro este link). E criptografar esses dados para armazenamento seria fácil, mas foi uma opção da Sony em não o fazer. Como resultado, quem fez o download da base de dados da PSN terá zero esforço para saber as senhas e outros dados de cada usuário, e fazer o que quiser com isso. Vender, comprar em nome dessas pessoas, roubar completamente suas identidades.
Cancelar o Cartão de Crédito não é o bastante
Aos usuários da PSN que me perguntaram se deveriam cancelar seus cartões de crédito cadastrados na PSN, eu digo: urgentemente. Não importa se “até agora não aconteceu nada”, pois esses dados circularão por muito tempo na rede, e poderão ser armazenados para quaisquer fraudes futuras.
Mas cancelar o cartão de crédito não é o bastante. Será necessário mudar a senha de todos os serviços nos quais esse usuário usa a mesma senha. Essa senha está oficialmente comprometida. E vale lembrar que quem tem acesso a essa senha, terá também ao seu e-mail e endereço. Com isso, uma conta em meios de pagamento como no paypal poderá ser instantaneamente acessada com essa senha (se for a mesma), e alterada para a que o fraudador bem entender.
Da mesma forma, uma conta no facebook mantida com essa conta de e-mail pode ter sua senha alterada. O proprietário da conta, difamado por má utilização ou até implicado em questões como pedofilia, caso resolvam utilizar a conta no facebook para isso, por brincadeira ou outros interesses mais obscuros.
Esses são só alguns exemplos do perigo de a senha de usuários estarem circulando, juntamente a dados que permitem identificar todas as presenças eletrônicas de cada um. É um convite ao roubo de identidade, pleno e instantâneo. Por isso, trocar a senha é urgente, mais urgente que bloquear o cartão de crédito, caso ela tenha sido usada, mesmo que com variações, em outros serviços on-line.
Não é só o usuário que perde
Multiplicam-se as ações coletivas contra a Sony em razão da perda de privacidade de dados que ela ocasionou. O prejuízo será inevitável, além dos comprometimentos que a Sony terá que assumir em juízo para a adoção de novos sistemas de segurança para a PSN. Entendo inclusive que esse caso ocasionará um enrijecimento ainda maior de normas relativas à privacidade e ao gerenciamento de cadastros de dados em países que já as têm, ou quem sabe a redação de leis sobre isso nos países que ainda não conseguiram dispor a respeito (Brasil, Brasil…).
Mas prejuízo maior a Sony está enfrentando na prática, no mercado. Hoje, dia 14 de maio de 2011, a PSN continua offline. Jogos que deveriam ter sido lançados, ou estarem em fase de testes, encontram-se paralisados por dependerem da PSN para os testes ou para que sejam lançados. Milhões de dólares, de forma crescente, vão escorrendo pelo ralo com o congelamento de todas as operações comerciais de tudo que depende da PSN, incluindo a venda de conteúdos como filmes e música, além de add-ons para jogos. Imaginem, por exemplo, o que a desenvolvedora do jogo Rock Band 3, recém-lançado, vem perdendo com a impossibilidade de seus usuários comprarem novas músicas para jogar. E esse é só um exemplo.
Se a PSN será certamente punida judicialmente, seu pior problema não será esse, e sim a quebra de confiança comercial que gerou com os parceiros e desenvolvedores dedicados ao PlayStation 3. Aqueles que se dedicavam com exclusividade sentem-se traídos, enquanto os que se mantiveram em diversas plataformas, como o Xbox da Microsoft, devem estar dando graças a Deus. O quanto a Sony perderá no campo comercial é algo indefinido, mas analistas concordam: será grande o suficiente para a Sony poder comemorar se não quebrar.
Após um problema, aguardar outros.
Por fim, de toda essa catástrofe, é importante que o setor empresarial e os governos entendam o recado: hoje foi a PSN, amanhã poderá ser a Amazon.com, ou o Submarino em nossas terras tupiniquins. Ninguém está a salvo de uma invasão on-line, ou do vazamento de seus dados por um simples pen-drive. Enquanto não houver normas e standards mínimos de segurança, governamentais ou auto-regulatórios, teremos uma infinidade de websites sérios e de grandes marcas armazenando nossos dados de forma tão simples que só faltará o laço de presente para o invasor que deles se apoderar.