La Nintendo ha confermato di aver ricevuto una serie di attacchi sul proprio sistema NNID (Nintendo Network ID) dai primi giorni di aprile e tutt’ora in corso. Il sospetto era stato già sollevato da alcuni utenti su Twitter e Reddit, i quali avevano segnalato una serie di anomalie relative ai propri account Nintendo, con la ricezione delle e-mail di alert di login non riconosciuti e il riscontro di attività anomale negli account collegati fra cui alcuni acquisti in-game indesiderati ed il riscontro dei conseguenti addebiti, soprattutto all’interno del gioco Fortnite.
Il sistema NNID è infatti utilizzato per l’accesso delle console Nintendo 3DS e Wii U, ma è anche collegato all’account principale Nintendo tramite il quale è possibile accedere agli strumenti di pagamento (PayPal, carta di credito) per effettuare gli acquisti relativi ai giochi.
Dalle investigazioni condotte dalla società, la compromissione riguarda ad oggi circa 160mila account NNID e l’accesso abusivo ad alcuni dati personali degli utenti: nickname, data di nascita, Paese di appartenenza, e-mail di registrazione associata al NNID. Sempre da comunicazione ufficiale, non risultano essere stati esposti né oggetto di furto i dati degli strumenti di pagamento impiegati dagli utenti, e al momento non è ancora chiarita la fonte dell’attacco né le esatte modalità di svolgimento dello stesso.
La contromisura adottata dalla società per il contenimento immediato del danno è stata il reset delle credenziali di accesso e l’invito nei confronti dell’utenza ad attivare la funzione di autenticazione a due fattori, così come prevedere il rimborso degli addebiti riconducibili alle attività anomale.
Negli ultimi anni il settore del gaming è oggetto di crescente attenzione da parte dei cybercriminali, vista l’ampia platea di utenti e la presenza di database appetibili anche per effetto delle previsioni di crescita degli eSport e i rilevanti introiti collegati alle piattaforme di gioco e agli eventi organizzati. Gli utenti non sono infatti soltanto gli eGamers ma anche gli eSpectators, con possibilità di assistere a competizioni e tornei con una partecipazione di massa equiparabile se non superiore rispetto a quella solitamente riconducibile agli sport “tradizionali”.
Le campagne comunemente utilizzate dai cybercriminali all’interno del settore del gaming si svolgono tramite attacchi di tipo credential stuffing e DDoS programmati per colpire tanto la base degli utenti che le società. Visti i molti introiti collegati, l’occasione di trarre profitti illeciti per un cybercriminale riguarda una pluralità ambiti: dal furto dei dati, alla rivendita degli acquisti in-game (fra cui item e valute), alla distribuzione di malware “dedicati”.
Bisogna ulteriormente considerare il fatto che gli utenti sono anche minorenni e dunque si rende necessaria l’adozione di particolari misure perché possano essere garantiti elevati standard di sicurezza e un livello adeguato di protezione dei dati personali dei soggetti maggiormente vulnerabili all’interno del settore dei servizi digitali. La responsabilizzazione delle società che orbitano nel mondo dell’eSport svolge un ruolo fondamentale perché possano essere bilanciate le esigenze di partecipazione e di tutela degli utenti nel percorso di trasformazione digitale del settore delle piattaforme di gioco.
