Επιπλέον 140.000 λογαριασμοί χρηστών εκτέθηκαν κατά την παραβίαση δεδομένων του Απριλίου της Nintendo

Μετά από μια παραβίαση δεδομένων, οι εταιρείες πρέπει να καθορίσουν πόσους χρήστες επηρεάστηκαν και να αποκαλύψουν τον τρόπο λειτουργίας των εισβολέων. Με αυτόν τον τρόπο, οι άνθρωποι θα έχουν σαφή κατανόηση της κλίμακας της παραβίασης και του επιπέδου πολυπλοκότητας των χάκερ. Φαίνεται σαν μια απλή δουλειά, ειδικά για μεγάλους, πολυεθνικούς οργανισμούς, αλλά όπως μπορούν να καταθέσουν οι χρήστες της Nintendo, μερικές φορές αποδεικνύεται πολύ πιο δύσκολο από ό, τι φαίνεται στην αρχή.

Η παραβίαση της Nintendo ήταν μεγαλύτερη από την αρχικά αναμενόμενη

Όλα ξεκίνησαν στις αρχές Απριλίου όταν ένας μεγάλος αριθμός χρηστών παραπονέθηκε ότι δεν μπορούν να συνδεθούν στους λογαριασμούς τους Nintendo. Μερικοί παρατήρησαν ακόμη και άγνωστες χρεώσεις στον τρόπο πληρωμής που αποθηκεύτηκε στο προφίλ τους, αλλά παρά όλα τα παράπονα, αρχικά, η εταιρεία βιντεοπαιχνιδιών δεν είπε τίποτα. Όπως σημείωσε τότε η BitDefender, ο ιαπωνικός λογαριασμός υποστήριξης της Nintendo στο Twitter παραδέχτηκε τελικά ότι κάτι μπορεί να είναι λάθος, αλλά η επίσημη ανακοίνωση αναβλήθηκε για δύο εβδομάδες.

Στις 24 Απριλίου, μια ειδοποίηση παραβίασης δεδομένων εμφανίστηκε στη σελίδα υποστήριξης της Nintendo Japan, λέγοντας ότι υπήρξε επίθεση εναντίον λογαριασμών Nintendo Network ID (NNID) 160 χιλιάδων χρηστών. Μέσω των λογαριασμών NNID, οι χάκερ απέκτησαν πρόσβαση στα ψευδώνυμα των χρηστών, στις ημερομηνίες γέννησης, στις διευθύνσεις email και στις χώρες διαμονής. Χρησιμοποίησαν επίσης τους λογαριασμούς NNID για να συνδεθούν στα κύρια προφίλ Nintendo, όπου ήταν επίσης διαθέσιμα τα ονόματα των κατόχων.

Η Nintendo επεσήμανε γρήγορα ότι οι εγκληματίες στον κυβερνοχώρο δεν είχαν πρόσβαση σε λεπτομέρειες πιστωτικής κάρτας, αλλά επεσήμαναν ότι πραγματοποιήθηκαν κάποιες μη εξουσιοδοτημένες αγορές στο επίσημο κατάστημα της Nintendo χρησιμοποιώντας μεθόδους πληρωμής που έχουν αποθηκευτεί σε παραβιασμένους λογαριασμούς.

Λίγο μετά την ανακοίνωση της παραβίασης, η Nintendo διαχώρησε τους λογαριασμούς NNID από τα κύρια προφίλ της Nintendo, επαναφέρει τους κωδικούς πρόσβασης των χρηστών και άρχισε να επιστρέφει τις μη εξουσιοδοτημένες συναλλαγές.

Δυστυχώς, αυτό δεν ήταν το τέλος. Οι καταγγελίες συνεχίστηκαν και μετά από έρευνα, η Nintendo κατέληξε στο συμπέρασμα ότι ενδέχεται να έχουν επηρεαστεί 140 χιλιάδες λογαριασμοί, ανεβάζοντας το συνολικό ποσό σε περίπου 300 χιλιάδες.

Η αποκάλυψη της Nintendo είναι λιγότερο από τέλεια

Οι άνθρωποι δεν πρέπει να ανησυχούν για την αναθεώρηση του σχήματος. Η διερεύνηση παραβίασης δεδομένων δεν είναι εύκολη υπόθεση, και μερικές φορές, ολόκληρη η εικόνα δεν γίνεται ξεκάθαρη μέχρι εβδομάδες ή ακόμα και μήνες αργότερα. Όσον αφορά τη λεπτομερή αποκάλυψη, ωστόσο, τα πράγματα πρέπει να είναι όσο το δυνατόν πιο ξεκάθαρα από την αρχή, και στην περίπτωση της Nintendo, αυτό δεν βλέπουμε.

Πρώτον, αν και η παραβίαση έχει επηρεάσει άτομα από όλο τον κόσμο, η ειδοποίηση δεν είναι διαθέσιμη σε όλους τους παγκόσμιους ιστότοπους της Nintendo. Η σελίδα υποστήριξης των ΗΠΑ, για παράδειγμα, δεν την αναφέρει καθόλου, και παρόλο που το υποκατάστημα του Ηνωμένου Βασιλείου αναγνωρίζει το συμβάν, λείπουν οι τεχνικές λεπτομέρειες.

Οι περισσότεροι άνθρωποι που θέλουν να μάθουν περισσότερα για την παραβίαση πρέπει να χρησιμοποιήσουν μια υπηρεσία αυτόματης μετάφρασης και να προσπαθήσουν να καταλάβουν τι εννοούσε η Nintendo, κάτι που θα μπορούσε να είναι ακόμη πιο δύσκολο από ό, τι ακούγεται. Η ειδοποίηση καθιστά σαφές, για παράδειγμα, ότι παρόλο που οι χάκερ χρησιμοποίησαν έγκυρα ονόματα χρήστη και κωδικούς πρόσβασης για να συνδεθούν σε λογαριασμούς ατόμων, τα συστήματα της Nintendo δεν είχαν παραβιαστεί με κανέναν τρόπο. Δεν ξέρουμε, ωστόσο, αν οι απατεώνες τους ψεύτησαν απευθείας από τους χρήστες ή αν τους πήραν από μια βάση δεδομένων που παραβιάστηκε κατά τη διάρκεια ενός άσχετου συμβάντος και τα χρησιμοποίησαν για μια επίθεση εμπιστοσύνης.

Οι ειδικοί ασφαλείας της Nintendo μπορεί να έχουν συνειδητοποιήσει πόσοι άνθρωποι επηρεάστηκαν από την παραβίαση δεδομένων του Απριλίου, αλλά έχουν σαφώς περισσότερες λεπτομέρειες για να αποκαλύψουν και να αποκαλύψουν. Ας ελπίσουμε ότι θα το κάνουν γρήγορα και με διαφάνεια.