Sotto scacco dei pirati online

Quello della scorsa settimana a Sony è stato solo l'ultimo di una serie di attacchi ai dati sensibili dei cittadini-clienti custoditi dalle multinazionali di tutto il mondo. In questi anni, solo prendendo in considerazione i dati resi noti dalle stesse imprese, a più di 450 milioni di utenti sono state sottratte informazioni sensibili di natura economica e personale nei principali furti online.

Una stima per difetto perché molti attacchi andati a segno non sono stati resi pubblici.
Lo schema cambia, ma è frequente quello adottato dai pirati informatici che hanno appena colpito per la terza volta Sony. Gli hacker hanno sottratto i dati di un milione di utenti: si tratta di nomi, indirizzi di residenza, giorni dei compleanni. E poi hanno inviato una rivendicazione del furto su Twitter, con la firma Lulz Security. Ma sono andati anche oltre: hanno pubblicato una parte delle informazioni sul web e chiunque può leggerle.
I criminali digitali hanno portato a termine la loro incursione dopo altre due colossali falle aperte nella sicurezza dell'azienda giapponese. Da aprile hanno rubato i dati di 101 milioni di utenti che accedevano attraverso internet a due servizi online per giocare, ascoltare musica e guardare film: Playstation Network e Qriocity. Ieri, gli stessi hacker che si sono firmati Lulz Security hanno sottratto le identità di oltre 77 milioni di clienti della Nintendo.

Come i pirati delle leggende, i ladri elettronici sono alla ricerca di tesori: codici delle carte di credito, identità da clonare, dati personali. E assediano fortezze sulle rotte di internet che custodiscono nei loro archivi le informazioni di milioni di persone. Negli Stati Uniti, per esempio, hanno puntato su Epsilon, una società del gruppo Alliance Data che gestisce il marketing online di 2.500 aziende. Valore stimato del danno: quattro miliardi di dollari. Spesso hanno alzato il tiro fino a violare le misure di protezione di colossi della sicurezza come Rsa: sono riusciti a sottrarre dati relativi alla tecnologia SecureID, applicata nell'utilizzo dei token, piccoli dispositivi che generano codici numerici casuali da associare alle password per incrementare gli standard di protezione.

«Aumentano le organizzazioni criminali tradizionali interessate a reclutare informatici per le truffe su internet, ma non c'è un reale progresso nelle tecnologie impiegate», sottolinea Alessio Pennasilico, celebre ex hacker italiano che adesso lavora nella società di sicurezza elettronica Alba. Gli specialisti dell'intrusione che hanno appena violato le difese della Sony utilizzano una tecnica nota da anni, la sql injection.
In genere, i codici delle carte di credito ottenuti come bottino vengono rivenduti online a prezzi di circa 7 centesimi a pacchetto, secondo le stime di Symantec. Gli acquirenti li utilizzano per le loro spese, addebitandole ad altri utenti. I dati personali rubati, invece, diventano una sorta di rubrica telefonica per sapere a quali indirizzi inviare una valanga di messaggi pubblicitari con email spazzatura (spam).