Informazioni personali identificabili di 2,5 milioni di utenti dei forum ISO di Xbox 360 e PlayStation Portable trapelate

È emerso che informazioni personali e dettagli di carte di credito/debito di oltre 2,5 milioni di videogiocatori dei due forum di gioco enormemente popolari, PlayStation e Xbox, sono state trapelate online, dopo quasi un anno da quando sono state rubate a seguito di un attacco hacker. Gli hacker avevano anche rubato gli indirizzi email e gli indirizzi IP degli utenti insieme alle password.

I forum PSP ISO e Xbox 360 ISO si specializzano nella fornitura di file ISO scaricabili da titoli di gioco gratuitamente – copie digitali di giochi estratte da dischi di gioco fisici e distribuite illegalmente. (NOTA: Scaricare giochi piratati da fonti non autorizzate non è solo illegale, ma può anche rappresentare un rischio per la sicurezza).

Si ritiene che gli attacchi hacker siano avvenuti intorno a settembre 2015 e gli hacker abbiano rubato indirizzi email e IP, nomi utente e hash delle password MD5 salate di quasi 2,5 milioni di videogiocatori. Nessuno ha ancora rivendicato la responsabilità per l’attacco.

I dati sono appena venuti alla luce presumibilmente perché le credenziali rubate vengono solitamente vendute e acquistate per grandi somme all’interno di forum sotterranei privati del dark web e utilizzate in truffe successive e tentativi di accesso.

Mark James, specialista di sicurezza IT presso ESET, ha dichiarato: “Attacchi come questi sono abbastanza comuni dove i dati sono stati rubati e le vittime lo scoprono solo mesi o addirittura anni dopo.

“Truffe e attacchi di phishing cercheranno di utilizzare i dati preziosi per indurre ulteriori informazioni dall’utente ignaro; quelle informazioni vengono testate, memorizzate e spesso utilizzate per scopi di furto d’identità.

“Spesso le persone che utilizzano siti web apparentemente a bassa sicurezza non applicano una buona sicurezza delle password perché non è un obiettivo finanziario, ma tutti i dati hanno un valore e verranno riutilizzati per altri scopi.

“Ogni sito web dovrebbe essere trattato come unico e richiedere password diverse con una combinazione di nomi utente, se possibile.”

L’esperto di sicurezza Troy Hunt e fondatore di haveibeenpwned.com ha dichiarato: “Ogni volta che vediamo una violazione dei dati, gli account vengono presi e i nomi utente e le password vengono testati su altri siti.

“Molte volte, le persone hanno riutilizzato le proprie password e altri account sono di conseguenza compromessi.”

Normalmente, i criminali informatici abbandonano i dati una volta che hanno guadagnato abbastanza denaro e i dati vengono raccolti nel dark web.

Troy Hunt ha aggiunto: “Può esserci un lungo intervallo di tempo tra una violazione e la pubblicazione dei dati… Ci sono un numero incalcolabile di violazioni che sono già avvenute di cui semplicemente non sappiamo ancora.”

Gli esperti di sicurezza hanno avvertito i videogiocatori di essere particolarmente cauti quando inseriscono informazioni personali in tali siti web. Stanno anche esortando i videogiocatori a rivedere le proprie impostazioni di sicurezza e cambiare le password su tutti i loro account.

“Il recente furto di dati divulgato dai forum non ufficiali di PlayStation e Xbox è un ulteriore esempio della necessità per i consumatori di essere cauti su a chi forniscono le proprie informazioni online,” ha dichiarato Robert Capps, vicepresidente della sicurezza presso NuData Security, che ha avvertito gli utenti di internet di utilizzare password uniche su tutti gli account online per tenere i dati lontani dalle mani dei criminali informatici.

“Anche se questo sito è principalmente utilizzato per distribuire copie piratate di giochi, DVD e BluRay, i consumatori che utilizzano i forum devono assicurarsi di essere vigili. Rimanere all’erta per eventuali truffe di phishing che potrebbero apparire nelle email a seguito di questo attacco, cambiando le password su qualsiasi sito dove le password o i nomi utente utilizzati su questi siti sono utilizzati.

“Questi dati saranno probabilmente venduti nel Dark Web e utilizzati per futuri crimini informatici. È un buon promemoria per scegliere password uniche su tutti i siti che richiedono registrazione.”

Puoi controllare se sei stato hackerato controllando il tuo indirizzo email su haveibeenpwned.com.