
Pochi giorni fa Troy Hunt, l’amministratore del sito Have I Been Pwned (un prezioso aiuto per scoprire se i propri dati siano stati oggetto di data breach), ha segnalato che nel 2016 il servizio di consegne di cibo a domicilio Freshmenu, con sede a Bangalore in India, ha subìto la perdita di dati personali di oltre 110.000 clienti. I dati comprendevano nome, indirizzo e-mail, numero di telefono, indirizzo di casa e storico degli ordini.
New breach: FreshMenu had 110k customer records exposed in 2016 including names, phone numbers, order histories, physical & email address. FreshMenu was aware of the incident & elected not to disclose it to customers. 75% were already in @haveibeenpwned https://t.co/LGaAnj1hUA
— Have I Been Pwned (@haveibeenpwned) September 10, 2018
La particolarità di questo fatto è che l’azienda decise, in controtendenza con le normali pratiche del settore, di non inviare nessuna segnalazione ai clienti. Le persone interessate dal furto di dati sono rimasti per oltre due anni completamente all’oscuro della violazione.
Dopo che gli eventi sono stati scoperti e pubblicati da Hunt, la fondatrice dell’azienda ha pubblicato una nota di scuse sul sito, dove afferma di non aver voluto informare le vittime del furto di dati poiché fra questi non vi erano dati finanziari.
Ciò che spesso i responsabili ignorano (non so quanto ingenuamente) è che basta il furto di qualsiasi dato personale per esporre la vittima a phishing mirati, e quindi più efficaci. Basta solo anche il nome e l’indirizzo e-mail per creare un testo credibile, figuriamoci se il phishing dovesse includere anche dati che riteniamo sicuri, come l’indirizzo di casa o il telefono: molti dei destinatari abbasserebbero le difese, spesso già di per sé al minimo, cadendo nella trappola.