Freshmenu non informò oltre 110.000 vittime del furto di dati

Pochi giorni fa Troy Hunt, l’amministratore del sito Have I Been Pwned (un prezioso aiuto per scoprire se i propri dati siano stati oggetto di data breach), ha segnalato che nel 2016 il servizio di consegne di cibo a domicilio Freshmenu, con sede a Bangalore in India, ha subìto la perdita di dati personali di oltre 110.000 clienti. I dati comprendevano nome, indirizzo e-mail, numero di telefono, indirizzo di casa e storico degli ordini.

La particolarità di questo fatto è che l’azienda decise, in controtendenza con le normali pratiche del settore, di non inviare nessuna segnalazione ai clienti. Le persone interessate dal furto di dati sono rimasti per oltre due anni completamente all’oscuro della violazione.

Dopo che gli eventi sono stati scoperti e pubblicati da Hunt, la fondatrice dell’azienda ha pubblicato una nota di scuse sul sito, dove afferma di non aver voluto informare le vittime del furto di dati poiché fra questi non vi erano dati finanziari.

Ciò che spesso i responsabili ignorano (non so quanto ingenuamente) è che basta il furto di qualsiasi dato personale per esporre la vittima a phishing mirati, e quindi più efficaci. Basta solo anche il nome e l’indirizzo e-mail per creare un testo credibile, figuriamoci se il phishing dovesse includere anche dati che riteniamo sicuri, come l’indirizzo di casa o il telefono: molti dei destinatari abbasserebbero le difese, spesso già di per sé al minimo, cadendo nella trappola.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro per ESET, dove ricopro il ruolo di Operations Manager. Il blog è personale.