No mundo fantástico dos jogos online, uma corporação multinacional como a Sony seria um gigante desajeitado em luta mortal com um herói muito ágil. No mundo real, os hackers que atacaram o grupo japonês são bandidos – e não heróis. Mas a batalha da Sony para defender seus sistemas começa a parecer uma versão de pesadelo de seus jogos. Até agora, os hackers estão ganhando. A fama de excelência em software da Sony saiu esfrangalhada e dados cadastrais de milhões de clientes foram roubados. Sua estratégia lapidar de receita online está ameaçada e seu plano de sucessão foi solapado menos de dois meses depois de ser anunciado. E, o pior de tudo, os ataques refletem, no melhor dos casos, uma atitude despreocupada para com a segurança das informações, e no pior, francamente negligente.
A Sony fechou sua rede PlayStation Network duas semanas atrás depois de descobrir que dados pessoais de seus 77 milhões de membros – como nome, data de nascimento, e-mail, ID de usuário e senha – tinham sido acessados por um hacker desconhecido. Dados de 10 milhões de cartões de crédito também ficaram expostos. A companhia levou sete dias para avisar os usuários que suas informações pessoais poderiam estar comprometidas, e mais tempo ainda para contatar diretamente os usuários. A empresa finalmente pediu desculpas no domingo (1/5), depois que parlamentares americanos exigiram informações sobre o que a Sony sabia, e quando soube.
Na segunda-feira, a companhia fechou uma segunda rede, o Sony Online Entertainment System, que atende os usuários de suas séries de jogos, depois de descobrir que um hacker tinha roubado informações pessoais de 24 milhões de membros e acessado um banco de dados que reunia informações sobre mais de 12 mil cartões de débito e de crédito.
Tratamento apático dado à segurança
A Sony não é a primeira grande empresa a enfrentar constrangimentos com vazamentos de informações. O JPMorgan Chase e o Citibank estão entre as companhias que tiveram de reconhecer que as listas de clientes tinham sido roubadas da Epsilon, uma empresa que os bancos usavam para campanhas de marketing por e-mail. A Apple e o Google foram criticados por coletar secretamente informações privadas. E a empresa holandesa de navegação por satélite TomTom teve de pedir desculpas depois de vender para a polícia dados sobre a velocidade de seus clientes ao volante. Mas o caso da Sony é diferente porque a empresa parece ter se esforçado pouco para garantir a segurança de seus sistemas. O hacker que forçou o fechamento da PlayStation Network entrou no sistema por meio de um servidor de aplicativos, um dispositivo intermediário de manuseio de dados que faz a interface entre o sistema particular da Sony e a internet pública. Por si só, isso envolve um grave erro de software por parte da Sony. Mas a companhia reconheceu que a fragilidade explorada pelo hacker era de conhecimento dos técnicos em segurança de TI. Inexplicavelmente, a falha não foi notada pela própria equipe de segurança da Sony.
Como parte de suas tentativas para recuperar a iniciativa, a Sony disse que nomearia um diretor de segurança da informação, acrescentaria novos serviços de firewall, criptografia e monitoramento a seus servidores e transferiria as informações de clientes para um centro de dados novo e mais seguro. Tudo isso é bem-vindo. Mas a necessidade desse tipo de mudança chama a atenção para a vulnerabilidade da segurança da empresa antes do ataque à rede PlayStation.
A Sony se recusa a informar o número de funcionários de que dispõe para cuidar da segurança de sistemas. Mas técnicos do setor dizem considerar que a equipe é pequena, comparativamente a outras que gerenciam uma significativa movimentação online. Se isso for verdade, o fato é indesculpável, uma vez que a Sony tinha sido avisada de que era um possível alvo desse tipo de ataque pelo Anonymous, grupo ativista ligado a atividades de hacking. O tratamento apático dado pela Sony à segurança surpreende ainda mais à luz de sua estratégia principal de gerar uma receita online crescente para substituir a renda obtida com produtos eletrônicos de consumo, nos quais a empresa vem perdendo terreno, como aparelhos de TV e tocadores de música portáteis.
Um gigante caído
A estratégia está funcionando: o grupo de produtos em rede contribuiu com lucros de 45,7 bilhões de ienes (US$ 565 milhões) nos três meses encerrados em dezembro, quase o dobro do total gerado pelas divisões de produtos eletrônicos mais tradicionais. Mas a iniciativa depende de convencer os consumidores a escolher a Sony como sua provedora preferida de rede online e de manter a disposição dos clientes de pagar por produtos via internet. Permitir que hackers roubem os dados de cartões de crédito é uma maneira nada ideal de fazer isso, como demonstraram as convocações furiosas em favor de um boicote dos consumidores.
Não é menos constrangedor para a Sony que a pessoa responsável pelo fiasco seja Kazuo Hirai, diretor do grupo de produtos em rede e, desde março, o sucessor ungido de Sir Howard Stringer, o principal executivo da Sony. A possível ascensão de Hirai ao cargo máximo da empresa agora vai depender da maneira como ele vai administrar a crise daqui para frente. Dependerá também de o roubo de dados financeiros ser seguido ou não por fraudes e da possível ocorrência de novos ataques bem-sucedidos de hackers à empresa.
A questão decisiva, no entanto, é que a Sony precisa melhorar seriamente o tratamento que dá à segurança e assegurar que não haja novas vitórias dos hackers. Se não conseguir fazer isso, ela será, de fato, um gigante caído (tradução de Rachel Warszawski).
******
Do Financial Times, de Cingapura