Outras 140.000 contas de usuário foram expostas na violação de dados da Nintendo em abril

Após uma violação de dados, as empresas precisam determinar quantos usuários foram afetados e divulgar o modus operandi dos invasores. Dessa forma, as pessoas terão um entendimento claro da escala da violação e do nível de sofisticação dos hackers. Parece um trabalho simples, especialmente para grandes organizações multinacionais, mas como os usuários da Nintendo podem testemunhar, às vezes acaba sendo muito mais difícil do que parece à primeira vista.

A violação da Nintendo foi maior do que o inicialmente previsto

Tudo começou no início de abril, quando um grande número de usuários reclamou que não podia fazer login em suas contas Nintendo. Alguns até notaram cobranças desconhecidas no método de pagamento salvo em seu perfil, mas apesar de todas as reclamações, inicialmente, a empresa de videogame não disse nada. Como o BitDefender observou na época, a conta de suporte japonês da Nintendo no Twitter acabou admitindo que algo poderia estar errado, mas o anúncio oficial foi adiado por algumas semanas.

Em 24 de abril, uma notificação de violação de dados apareceu na página de suporte da Nintendo Japan, dizendo que houve um ataque contra as contas da Nintendo Network ID (NNID) de 160 mil usuários. Por meio das contas do NNID, os hackers obtiveram acesso aos apelidos, datas de nascimento, endereços de email e países de residência dos usuários. Eles também usaram as contas do NNID para acessar os principais perfis da Nintendo, onde os nomes dos proprietários também estavam disponíveis.

A Nintendo foi rápida em apontar que os cibercriminosos não tinham acesso a nenhum detalhe do cartão de crédito, mas ressaltaram que algumas compras não autorizadas foram feitas na loja oficial da Nintendo usando métodos de pagamento salvos em contas comprometidas.

Logo após anunciar a violação, a Nintendo separou as contas NNID dos principais perfis da Nintendo, redefiniu as senhas dos usuários afetados e começou a reembolsar as transações não autorizadas.

Infelizmente, este não foi o fim. As queixas continuaram e, após uma investigação, a Nintendo concluiu que mais de 140 mil contas podem ter sido afetadas, elevando o número total a 300 mil agradáveis.

Divulgação da Nintendo é menos do que perfeita

As pessoas não devem ficar chateadas com a revisão da figura. Investigar uma violação de dados não é uma tarefa fácil e, às vezes, o quadro todo não fica claro até semanas ou meses depois. Quando se trata de divulgação detalhada, no entanto, as coisas devem ficar o mais claras possível desde o início, e no caso da Nintendo, não é isso que estamos vendo.

Por um lado, embora a violação tenha afetado pessoas de todo o mundo, a notificação não está disponível em todos os sites globais da Nintendo. A página de suporte dos EUA, por exemplo, não faz nenhuma menção a isso e, embora a agência do Reino Unido reconheça o incidente, faltam detalhes técnicos.

A maioria das pessoas que deseja aprender mais sobre a violação precisa usar um serviço de tradução automática e tentar descobrir o que a Nintendo queria dizer, o que poderia ser ainda mais difícil do que parece. A notificação deixa claro, por exemplo, que, embora os hackers usassem nomes de usuário e senhas válidos para acessar as contas das pessoas, os sistemas da Nintendo não foram comprometidos de forma alguma. No entanto, não sabemos se os criminosos os enganaram diretamente dos usuários ou se os pegaram de um banco de dados violado durante um incidente não relacionado e os usaram para um ataque de credencial.

Os especialistas em segurança da Nintendo podem ter percebido quantas pessoas foram afetadas pela violação de dados de abril, mas eles claramente têm mais detalhes a descobrir e divulgar. Vamos torcer para que eles façam isso de forma rápida e transparente.