Altri 140.000 account utente sono stati esposti nella violazione dei dati di aprile di Nintendo

A seguito di una violazione dei dati, le aziende devono determinare il numero di utenti interessati e divulgare il modus operandi degli aggressori. In questo modo, le persone avranno una chiara comprensione della portata della violazione e del livello di sofisticazione degli hacker. Sembra un lavoro semplice, soprattutto per le grandi organizzazioni multinazionali, ma come possono testimoniare gli utenti Nintendo, a volte risulta essere molto più difficile di quanto sembri inizialmente.

La violazione di Nintendo è stata più grande di quanto inizialmente previsto

Tutto è iniziato ai primi di aprile quando un gran numero di utenti si è lamentato di non poter accedere ai propri account Nintendo. Alcuni hanno anche notato addebiti sconosciuti per il metodo di pagamento salvato nel loro profilo, ma nonostante tutte le lamentele, inizialmente, la società di videogiochi non ha detto nulla. Come notò BitDefender all'epoca, l'account di supporto giapponese di Nintendo su Twitter alla fine ammise che qualcosa potrebbe non andare, ma l'annuncio ufficiale fu rinviato di un paio di settimane.

Il 24 aprile, una notifica di violazione dei dati è apparsa sulla pagina di supporto di Nintendo Japan, dicendo che c'è stato un attacco contro gli account Nintendo Network ID (NNID) di 160 mila utenti. Tramite gli account NNID, gli hacker hanno avuto accesso ai nickname, alle date di nascita, agli indirizzi e-mail e ai paesi di residenza degli utenti. Hanno anche usato gli account NNID per accedere ai principali profili Nintendo, dove erano disponibili anche i nomi dei proprietari.

Nintendo ha sottolineato rapidamente che i criminali informatici non hanno avuto accesso ai dettagli della carta di credito, ma hanno sottolineato che alcuni acquisti non autorizzati sono stati effettuati all'interno del negozio ufficiale Nintendo utilizzando metodi di pagamento salvati in account compromessi.

Poco dopo aver annunciato la violazione, Nintendo ha separato gli account NNID dai principali profili Nintendo, ripristinato le password degli utenti interessati e ha iniziato a rimborsare le transazioni non autorizzate.

Sfortunatamente, questa non era la fine. Le lamentele sono continuate e, dopo un'indagine, Nintendo ha concluso che altri 140 mila account potrebbero essere stati colpiti, portando il totale a un buon giro di 300 mila.

La divulgazione di Nintendo è tutt'altro che perfetta

Le persone non dovrebbero essere arrabbiate per la revisione della figura. Indagare su una violazione dei dati non è un compito facile e, a volte, l'intero quadro non diventa chiaro fino a settimane o addirittura mesi dopo. Quando si tratta di divulgazione dettagliata, tuttavia, le cose dovrebbero essere il più chiare possibile fin dall'inizio, e nel caso di Nintendo, questo non è ciò che stiamo vedendo.

Per uno, sebbene la violazione abbia colpito persone di tutto il mondo, la notifica non è disponibile su tutti i siti Web globali di Nintendo. La pagina di supporto degli Stati Uniti, ad esempio, non ne fa alcuna menzione, e sebbene la filiale del Regno Unito riconosca l'incidente, mancano i dettagli tecnici.

La maggior parte delle persone che vogliono saperne di più sulla violazione devono utilizzare un servizio di traduzione automatica e cercare di capire cosa intendesse Nintendo, il che potrebbe essere ancora più difficile di quanto sembri. La notifica chiarisce, ad esempio, che sebbene gli hacker usassero nomi utente e password validi per accedere agli account delle persone, i sistemi Nintendo non erano stati compromessi in alcun modo. Non sappiamo, tuttavia, se i truffatori li hanno phishing direttamente dagli utenti o se li hanno prelevati da un database violato durante un incidente non correlato e li hanno utilizzati per un attacco di riempimento delle credenziali.

Gli esperti di sicurezza di Nintendo potrebbero aver capito quante persone sono state colpite dalla violazione dei dati di aprile, ma hanno chiaramente più dettagli da scoprire e divulgare. Speriamo che lo facciano in modo rapido e trasparente.