Le violazioni dei dati continuano a fare notizia e a causare gravi conseguenze per le organizzazioni di tutto il mondo. I recenti eventi globali hanno trasformato il nostro modo di vivere e lavorare, creando un ambiente maturo per attacchi informatici e violazioni della sicurezza.
Gli attacchi informatici sono centinaia di milioni all'anno e mettono a rischio miliardi di dati. Sebbene molte industrie siano esposte a minacce, settori come quello sanitario rimangono particolarmente vulnerabili e spesso rappresentano una parte significativa delle violazioni di dati segnalate.
Le informazioni sensibili sono un bene prezioso e i criminali informatici sfruttano le vulnerabilità per rubare i dati a scopo di lucro e per attività fraudolente. Gli studi dimostrano che la maggior parte delle violazioni dei dati ha una motivazione finanziaria, con attacchi di phishing, ransomware, malware e credenziali rubate come metodi principali utilizzati dagli aggressori per infiltrarsi nelle reti e nei sistemi.
Di seguito sono riportati cinque esempi di alcune delle più importanti violazioni della sicurezza avvenute di recente.
Le 5 principali violazioni della sicurezza
1. Marriott
Nel marzo 2020, la catena alberghiera Marriott ha annunciato di aver subito un grave incidente di sicurezza che ha compromesso i dati di oltre 5,2 milioni di ospiti. Utilizzando le credenziali di accesso di due dipendenti, gli hacker sono riusciti a rubare informazioni sensibili da un'app di terze parti. Le informazioni personali includevano nomi, indirizzi, indirizzi e-mail, numeri di telefono, informazioni sugli account di fidelizzazione, società, sesso, date di nascita, programmi e numeri di fidelizzazione delle compagnie aeree collegate e preferenze degli ospiti.
L'azienda ha dichiarato che nella violazione dei dati non sono stati esposti dati di pagamento, informazioni sul passaporto, ID nazionali o numeri di patente.
È la seconda volta che Marriott subisce una violazione dei dati nel giro di due anni. Nel novembre 2018, gli hacker hanno esposto i dati personali di un massimo di 500 milioni di ospiti. L' ICO ha poi multato l'azienda per 124 milioni di dollari a causa delle carenze nella sicurezza del sistema. L'ultima violazione potrebbe causare ulteriori danni e minare la fiducia dei consumatori nella catena alberghiera.
2. EasyJet
Nel maggio 2020, EasyJet ha rivelato di essere stata oggetto di un attacco informatico che ha esposto gli indirizzi e-mail e i dati di viaggio di nove milioni di clienti. La compagnia aerea ha inoltre confermato che 2.208 clienti hanno avuto accesso ai dati delle loro carte di credito e ai codici di sicurezza CVV.
Inizialmente, Easyjet aveva affermato che non vi erano prove che i dati dei clienti compromessi fossero stati utilizzati in modo improprio. Tuttavia, le informazioni ottenute da Action Fraud suggeriscono che ci sono state segnalazioni di attività fraudolente e furti di identità a seguito della violazione di EasyJet.
Nonostante l'attacco sia avvenuto a gennaio, ci sono voluti quattro mesi perché la compagnia aerea rivelasse pubblicamente la violazione dei dati. In base al GDPR le organizzazioni sono obbligate per legge a segnalare una violazione dei dati entro 72 ore dal rilevamento. EasyJet ha affermato che il ritardo nella segnalazione è dovuto alla natura sofisticata dell'attacco.
È probabile che l'azienda debba pagare multe significative per la violazione dei dati. Tuttavia, alla luce della pandemia di Covid 19, l'ICO ha dichiarato che avrebbe adottato un approccio "empatico e proporzionato" per valutare gli incidenti segnalati. Questo ha portato a speculare sul fatto che la compagnia aerea riceverà una multa più leggera a causa delle crescenti pressioni a cui è attualmente sottoposto il settore dell'aviazione.
3. MGM Resorts
Nel luglio 2019, MGM Resorts ha subito una massiccia violazione della sicurezza dopo che un hacker ha avuto accesso a uno dei server cloud dell'hotel. La notizia della violazione dei dati è stata rivelata nel febbraio 2020 quando hacker hanno diffuso i dati personali di 10,6 milioni di ospiti dell'hotel sul dark web. I dati esposti includevano nomi, indirizzi di casa, numeri di telefono, e-mail e date di nascita degli ex ospiti dell'hotel. Tra gli ospiti di alto profilo colpiti dalla violazione figurano Justin Bieber, il CEO di Twitter Jack Dorsey e molti funzionari di agenzie governative.
È poi emerso che la fuga di dati è stata molto più grande di quanto riportato inizialmente. I dati personali di oltre 142 milioni di ospiti sono apparsi per 2.900 dollari su un mercato online di criminalità informatica. La compagnia ha confermato di aver informato gli ospiti interessati e di essere certa che la violazione non ha coinvolto dati finanziari, carte di pagamento o password.
4. Nintendo
Nell'aprile 2020 Nintendo ha annunciato una violazione dei dati di 160.000 account. L'incidente di sicurezza è stato causato da un sospetto attacco di attacco di credential stuffing. Utilizzando numeri di identificazione e password provenienti da un precedente attacco informatico, gli hacker sono riusciti ad accedere agli account degli utenti. In questo modo hanno potuto acquistare articoli digitali e visualizzare dati sensibili come nome, indirizzo e-mail, data di nascita, sesso e Paese.
Il colosso dei giochi ha poi annunciato che altri 140.000 account sono stati compromessi nell'attacco, portando il numero totale di account violati a 300.000. L'azienda ha resettato le password di tutti i clienti colpiti e ha invitato gli utenti a non utilizzare la stessa password per più account e servizi.
5. Zoom
Nell'aprile 2020 è emerso che l 'app per riunioni virtuali Zoom ha subito una violazione dei dati che ha esposto le credenziali di accesso di oltre 500.000 utenti.
In un altro attacco di credential stuffing, gli hacker sembrano aver ottenuto l'accesso agli account utilizzando combinazioni di nomi utente e password ottenute in precedenti violazioni di dati. Le informazioni sono state messe in vendita sui forum di hacking del dark web a un prezzo di appena 1 penny.
I dati compromessi includevano credenziali di accesso, indirizzi e-mail, URL di riunioni personali e chiavi host. Ciò ha consentito ai criminali di accedere e partecipare alle riunioni o di utilizzare le informazioni raccolte per altri scopi dannosi.
