Azione di PHISHING e DATA BREACH identificati nel 2020

Cosa è il phishing e il data breach

Abbiamo parlato più volte delle numerose azioni di violazione dei dati personali e come queste devono essere segnalate al Garante Privacy.

Ricordiamo, di seguito, la procedura da seguire in caso di data breach qualora si volesse segnalare la violazione.

Come segnalare una violazione dei dati personali

Il Titolare del trattamento, sia esso soggetto pubblico, associazione, impresa, partito, professionista, etc… senza ingiustificato ritardo e, quando possibile, entro 72 ore dal momento in cui è venuto a conoscenza della violazione, deve notificare il caso avvenuto al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.

Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.

In caso di ritardo nella segnalazione al Garante, cioè passate le 72 ore dal momento in cui è stata certificata la violazione dei dati personali, la notifica deve essere accompagnata obbligatoriamente dai motivi del ritardo.

Cosa è successo negli ultimi anni? Furti, violazioni e segnalazioni

Tantissime, sono state e sono tutt’ora nella storia dei social network, le violazioni dei dati personali con conseguenze anche drastiche sia per le stesse società che per gli utenti violati. Ne citiamo le principali:

  • 2008 / Ricordando Myspace, una delle più grandi social networking service americana che nel 2008 contò 359 milioni di account violati.
  • 2015 / Seguì Target, azienda statunitense del settore della grande distribuzione con 70 milioni di account violati.
  • 2016 / Linkedin, servizio web di rete sociale per promuovere figure professionali e aziende con 164 milioni di account violati.
  • Aziende Multiple: 593 milioni di e-mail e password ritrovate in un elenco online denominato “Exploit.In”.
  • 2017 / River City Media: 390 milioni di Indirizzi e-mail, IP, nomi e indirizzi fisici, utilizzati come parte di un’enorme operazione di spam.
  • 2018 / Marriott: 500 milioni di dati relativi agli ospiti della più grande catena alberghiera del mondo.
  • MyFitnessPal: 150 milioni di nomi utente, indirizzi email e password “crackerati” (non “hackerati”) degli utilizzatori dell’app.
  • Quora: 100 milioni di nomi, indirizzi email, password crittografate.
  • MyHeritage: 92 milioni di alberi genealogici violati, indirizzi email e password crittografate.
  • Cambridge Analytica: Il caso che ha avuto più risonanza mediatica ed ha coinvolto i governi americani e russi.
  • Google+: 52,5 milioni di dati di utenti violati accelerando la chiusura del social network di Google ad aprile 2019.
  • Facebook50 milioni di profili violati.

Può interessarti anche: Italia: nuovo allarme sicurezza informatica

Cosa è successo in questi giorni?

Qualche giorno fa è stata identificata una nuova campagna di phishing che sottrae credenziali Outlook.

Il CSIRT, descrive nel dettaglio tutti i passaggi di questa operazione e suggerisce gli indicatori di compromissione (IoC) per non essere violati.

A questo link, l’articolo completo: Identificata campagna di phishing che sottrae credenziali Outlook (AL01/201217/CSIRT-ITA)