Come saprete, l’autority per la protezione dei dati personali della Polonia ha sanzionato la società di e-commerce Morele.net, a seguito del data breach occorsole, della somma di 2.800.000 PLN (circa 650.000 euro).
Stando alle poche informazioni disponibili, il data breach è avvvenuto ad ottobre 2018, ed ha interessato oltre 2,2 milioni di acquirenti.
Tra i dati esfiltrati: nome utente, password (md5crypt hashed), nominativi, numeri telefonici, indirizzi e-mail, indirizzi di spedizione; alcuni clienti (circa 35.000) avevano informazioni addizionali quali informazioni di pagamento, numeri identificativi, livello di istruzione, provenienza e valorizzazione delle proprie finanze, spese sostenute e stato matrimoniale.
La società si è resa conto del data breach a novembre, quando alcuni clienti hanno avvisato di aver ricevuto richieste di ulteriori pagamenti per prodotti che hanno acquistato; erano state predisposte alcune false pagine ad-hoc per ricevere i pagamenti illeciti.
Il garante polacco ha identificato tre infrazioni primarie al Regolamento GDPR:
- l’azienda non ha rispettato i dettami inerenti ai concetti integrità e confidenzialità;
- non ha predisposto un sistema di monitoraggio per evidenziare le minacce ed accorgersi della violazione dei dati personali;
- non ha saputo dimostrare lo specifico consenso relativo ai dati personali di ciascun trattamento.
Sembra che i cracker abbiano avuto accesso alle basi dati tramite il famoso (e purtroppo omnipresente) phpmyadmin.
Questa è la classica situazione nella quale versano moltissime aziende italiane; modalità reattiva, si spera nel meglio e si interviene a danno occorso.
Occorre adottare un nuovo paradigma; modalità proattiva; prevenire, invece che intervenire ex post.
Con security assessment, penetration test e valutazioni di rischio preventive (ad esempio, faccio sempre disabilitare/limitare phpmyadmin, comodo per gli admin ma troppo rischioso).
Da ultimo, e consentitemelo, non è possibile accorgersi di un data breach a distanza di un mese, quando i clienti avvisano che qualcosa non va; specialmente se hai una azienda di e-commerce con due milioni e mezzo di clienti.
P.S. si vocifera che il database frutto del databreach sia disponibile nel dark web; ovviamente non ho verificato.