Como todo gamer que acompanha as notícias do desse meio já sabe, a PlayStation Network foi vítima de ataques hackers que a deixaram desativada por uma semana (e contando). Aliás, não precisa nem ser consumidor voraz de notícias do mundo gamer: se você é dono de um PS3 e tentou logar na PSN na última semana, descobriu por conta própria que a rede online da Sony está no conserto.
Curiosamente, a Sony não admitiu logo de cara qual era o problema — aliás, até a publicação desta coluna, ao tentar logar na PSN através de um browser tudo que você recebe é uma mensagem genérica de “manutenção do servidor” —, o que, no mínimo, mostra certo descaso ou incompetência em informar ao consumidor a respeito do risco em que ele se encontra.
“Manutenção”? Não exatamente…
O burburinho internético já começava a especular que o problema era resultado de ataques hackers, e a Sony eventualmente admitiu que foi isso mesmo o que aconteceu. O que a gigante japonesa não nos alertou, no entanto, é que o potencial estrago dessa intrusão poderia ser maior do que se imaginava.
Entre 17 e 19 de abril, hackers ganharam acesso aos bastidores da PSN. Vamos ignorar por um instante que isso implica que a rede da Sony foi invadida e a invasão passou três dias sem ser detectada. O resultado é que os hackers possivelmente tiveram acesso às suas informações de login (e-mail e senha), e a Sony não descarta que as informações de cartão de crédito também tenham caído nas mãos erradas. É aí que a coisa fica bem mais séria.
O fato de que uma grande porcentagem de usuários utiliza o mesmo login e senha para muitos (senão todos) os serviços online dos quais são usuários — todo mundo sabe que é furada, mas faz mesmo assim — torna a situação já bastante delicada. Bastaria bolar um script que salvasse os usernames e tentasse entrar nos e-mails utilizados no login da PSN com o password do serviço.
Por exemplo: digamos que seu login na PSN é [email protected] e sua senha é 12345. Seria relativamente fácil bolar um script que efetuasse login no Hotmail utilizando este e-mail como login e a mesma senha que você usou na PSN.
Através desse método eu chutaria aqui que os hackers ganhariam acesso a uns 90% dos e-mails utilizados como login na PSN. A parte mais assustadora é que isso pode já estar acontecendo.
Não precisa nem se limitar aos e-mails, aliás. Você é o Fulano de Tal, tem conta na PSN e no Paypal, e usa o mesmo login e senha em ambos? Sua conta no Paypal (ou eBay, ou Twitter, ou WordPress, ou seja lá o que for) está sujeita a invasão neste exato momento. Bastaria apontar os scripts para outros sites importantes, já que não foi só o e-mail que ficou exposto a hackers.
A Sony tentou aliviar a situação dizendo que “no momento não há provas disso”, mas deixou aberta a hipótese de as suas informações de cartão de crédito estarem na mão dos invasores. Aqueles que prezam pela própria segurança sabem que é melhor encarar a situação tendo em mente o pior cenário possível. Neste caso, os invasores da PSN têm seu login, password, e-mail, e cartão de crédito.
Para piorar a coisa ainda mais, só ontem soubemos disso oficialmente. A invasão ocorreu ao longo de três dias, mais de uma semana atrás. Hackers detinham informação extremamente detalhada a respeito de milhões de usuários, mas a Sony demorou esse tempo todo para nos alertar a respeito.
Claro, a empresa deu suas desculpas para a demora. Era preciso uma “análise forense” para descobrir o que exatamente aconteceu. Tal investigação demorou a revelar que as nossas informações pessoais haviam vazado.
Acontece que, para um consumidor lesado, desculpas não são suficientes. Se o vigia do bairro dorme no serviço e, como resultado, o seu carro é roubado, ele te explicar que tem três empregos e que por isso anda dormindo pouco não traz seu carro de volta e nem recupera sua confiança no serviço que ele oferece.
A meu ver, o simples necessidade de dar esse tipo de desculpa é um atestado de que a Sony falhou em seu compromisso com o consumidor — a segurança dos nossos dados. A desculpa não resolve nada e apenas nos lembra que a Sony pisou na bola outra vez.
Tenho uma experiência pessoal de invasão de conta da PSN que eu já relatei aqui no TB. Resumindo a história: minha conta da PSN foi invadida e meu cartão de crédito foi utilizado sem meu consentimento na loja da rede. A Sony não apenas se recusou a oferecer qualquer tipo de ajuda, como foi além dizendo que, caso eu contatasse a operadora do meu cartão para reaver o dinheiro roubado, minha conta seria banida.
Por quê? Por “motivos de segurança”. Curiosamente, informá-los que minha conta foi invadida não causa preocupações de “segurança” o suficiente para que eles decidam banir meu cadastro. É como se a tentativa de recuperar a grana roubada resultasse em expulsão.
Por sorte, a Visa está ciente dessa filosofia da Sony (em outras palavras: punir o cliente lesado) e lida com frequência assustadora com essa situação. Assim, a política da operadora é simplesmente ressarcir o dinheiro roubado — ficando no prejuízo — sem iniciar uma disputa com a Sony.
É um festival de trapalhadas. A PSN foi hackeada em 2008, pagou aquele papelão no ano passado com o bug de 28 de fevereiro, pune vítimas de fraude que tentam reaver o dinheiro perdido com banimento, e agora mais essa.
E tudo isso supostamente porque um grupo de hackers não está muito feliz com a maneira como a Sony decidiu reagir contra George Hotz, mais conhecido como Geohot, o responsável pela quebra do sistema do PS3. Muitos achavam que a reação da Sony — levar o hacker aos tribunais numa tentativa de arruiná-lo financeiramente e torná-lo um exemplo para outros “trangressores” — era análoga a dar cabeçadas num vespeiro, e pelo jeito a comparação foi acertada.
Call of Duty: inacessível na PSN. (imagem: reprodução/IGN.com)
Dylan Cuthbert, designer e programador da Q-Games, expressou no Twitter sua raiva contra os invasores do serviço e ainda adicionou que essas ações “fazem os próprios hackers ficarem mal na fita, não a Sony”.
Preciso discordar. Deixando de lado a óbvia ilegalidade da atitude dos invasores (não pensem em nenhum momento que eu apoio a invasão), a lição importante aqui é que — novamente — a Sony parece estar mal preparada para lidar com ataques dessa natureza. Não é a primeira vez, provavelmente não será a última, e o auxílio (ou a falta dele) que ela dá a usuários afetados é no mínimo preocupante vindo de uma empresa a quem você confia suas informações pessoais e o número do cartão de crédito.
E não podemos deixar de atentar para o fato de que, até o momento, tudo indica que a ofensiva criminosa contra a Sony é fruto direto da sua atitude litigiosa (quase bully, alguns diriam) contra gamers que utilizam o aparelho. Se a Sony tivesse tentado se engajar de forma produtiva com a comunidade hackers — em vez de se julgar grande o bastante pra esmagá-los no judiciário —, é possível que você estivesse jogando Call of Duty online neste momento, em vez de ler um texto sobre a invasão da PSN na esperança de entender o que está acontecendo.
Quem lembra da confusão envolvendo a Gawker Media? Essencialmente, o conglomerado de blogs provocou hackers e se viu numa situação semelhante de invasão e vazamento de dados de usuários. Pelo jeito, aprender com os erros dos outros é algo inacessível àqueles que ainda nem começaram a aprender com os próprios erros, como me parece ser o caso da Sony.
Curiosamente, o parágrafo final do meu texto sobre o ApocaliPS3 especulava quando seria a próxima pisada de bola da empresa e quais seriam as consequências. Na minha crônica a respeito de como fui tratado pela Sony quando minha conta foi invadida, dei a dica de que é melhor mandar a conveniência às favas e adotar a prática de inserir e deletar manualmente os dados do seu cartão de crédito após cada compra. Você não pode dizer que eu não avisei.