“Se a Sony estiver a ver este canal eles devem saber que correr uma versão mais velha do Apache num servidor Red Hat com as conhecidas vulnerabilidades, não é aconselhável, especialmente quando esse servidor livremente relata a sua versão e o seu servidor de autenticação.”
O ressurgir de um historial de conversa IRC apresentando hackers PlayStation 3 a discutir as falhas de segurança da PSN apresenta uma nova, indesejada perspetiva sobre a crise de segurança na Sony. O log, com data de 16 de Fevereiro e colocado no mesmo dia nos sites de hacking PS3, deve obviamente ser levado com cautela: facilmente forjado e facilmente editável, a origem destas fontes é manhosa na melhor das hipóteses.
No entanto, o conteúdo foi-me descrito por uma fonte informada intima com a PlayStation 3 como “parecendo correto”, e alia-se a informação previamente estabelecida sobre como a PS3 fala com os servidores PSN. Isto abre um novo leque de problemas sobre o que rapidamente se está a transformar numa das maiores quebras de segurança da era da Internet.
A interferência é simples: as vulnerabilidades PSN eram bem conhecidas e estão a ser discutidas a público desde há meses, e a Sony não agiu cedo o suficiente. Tendo em conta a colossal quantidade de evidências que a Sony levantou de sites de hacking PS3 e apresentou durante o caso legal Geohot, é claro que a ignorância destas aclamações não tem fundamento. A Sony está claramente atenta à “cena” hacking e tem estado desde que o PSJailbreak originalmente apareceu no Verão passado.
A informação que a Sony disponibilizou sobre a natureza do hack é alarmante que chegue, mas existem sugestões de a história estar longe de terminar. Muitos acreditaram que a PSN estava em baixo para atualizar um buraco na segurança que permitia a utilizadores de firmware personalizado explorar servidores de teste para autenticar jogos piratas e transferências de DLC. Infelizmente a verdade foi muito mais chocante.
A segurança da PSN foi quebrada pelos servidores e toda a informação que o utilizador confia à Sony ao inscrever-se no serviço foi comprometida. Nomes, moradas, dados de entrada, questões de segurança foram roubadas – e apesar da Sony não ter certeza a 100 por cento de os detalhes dos cartões de crédito terem sido roubados, não descarta a possibilidade.
Toda a noção de os detalhes das passwords terem sido levados custa a acreditar. Existe uma razão de a maioria dos sites na Internet não te poderem dizer qual é a tua própria password e apenas a poderem anular – é porque o servidor em si não as guarda sequer. A tua palavra passe escolhida é hashed quando é transmitida pela primeira vez, e apenas esta checksum é guardada. Quando introduzes o teu login, a palavra passe é novamente hashed e comparada com o que está no sistema – se tens algo igual, tens acesso.
Resumindo, não existe nenhuma real necessidade sequer de a tua palavra passe estar guardada num servidor secundário. O comunicado da Sony sugere que estava na verdade a guardar informação sensível em formato de texto simples, o que custa a acreditar. A outra única explicação é que os hackers apenas tiveram acesso às hashes e podem ter comprometido uma pequena minoria das palavras passe ao correr estes dados por algo parecido com uma pesquisa de dicionário. No entanto, pelo tom de desculpa da Sony este não parece ser o caso.
Apesar da Sony dizer que não existem evidências de os detalhes dos cartões de crédito terem sido acedidos, utilizadores PSN não devem ter ilusões que estão a salvo. Se moradas de email e palavras passe estão disponíveis, podem ser testadas em outros sites tais como PayPal e eBay – apenas duas potenciais moradas para fraude de grande escala. Com tantas pessoas a reutilizar palavras passe em múltiplos sites, a falha de segurança na Sony pode ter severas repercussões em centenas de outros sites.
Se os hackers têm acesso ao teu nome, morada e data de nascimento, essa informação por si só é mais do que suficiente para causar problema, e a noção de as questões de segurança terem sido comprometidas também apenas adiciona à severidade dos danos que podem ser causados. Informação deste tipo é de imenso valor para fraudes de ID, mas apenas o teu nome e morada pode ser suficiente para um vigário habilidoso – como sei a meu custo.
