Chissà quale può essere stata la sorpresa dei clienti e utenti della De Agostini Scuola, la divisione specializzata alla didattica della De Agostini quando hanno ricevuto la seguente mail.
“Gentile Utente,
Con la presente ti informiamo che siamo venuti a conoscenza di una possibile violazione dei dati personali (un cosiddetto “data breach”) presenti nel portale “deascuola.it”. Stiamo svolgendo accurate indagini interne, tuttavia non possiamo escludere un eventuale data breach che potrebbe comportare eventuali furti d’identità, attività di phishing o l’accesso non autorizzato al portale o ad altri siti Internet in cui sono state utilizzate le medesime username e password utilizzate nel portale”.
Nel rispetto della disciplina dettata dal GDPR, peraltro sembrerebbe in ritardo nel rispetto dei tempi previsti dalla norma, ma questo sarà oggetto di indagini da parte del Garante, la casa editrice ha avvertito la sua utenza che i loro dati personali sono stati oggetto di furto da parte di un anonimo attaccante, hacker non etico. Sono pertanto a rischio anche i computer degli utenti che, a loro volta, potrebbero essere oggetto non solo di phishing, ma anche di accessi abusivi laddove le credenziali di accesso usate per il sito della De Agostini fossero le stesse usate per altri portali. La stessa De Agostini nella sua comunicazione informa di avere resettato le password di tutti utenti e, stante il tono della comunicazione, sorge un dubbio che le password e gli altri dati di accesso non fossero stati criptati. Sarebbe di estrema gravità se così fosse in quanto è verosimile che tramite questi dati si possa risalire alle identità anche di minori, indirizzi e quant’altro.
Sembra che la vicenda sia giunta all’attenzione pubblica solo dopo la pubblicazione su Twitter di uno screenshot tratto dal darkweb con il quale un anonimo, forse lo stesso hacker, offriva in vendita ben 250.000 combinazioni di mail e password. Un vero e proprio tesoro non solo per aspiranti truffatori o ladri di identità ma anche eventuali pedofili che potrebbero accedere ai dati di bambini.
E’ l’ennesima e forse inutile conferma di come vi sia troppa leggerezza e disattenzione da parte delle aziende nella protezione dei dati della loro utenze, vale a dire dei clienti che, a loro volta, non dimentichiamolo, sono gli stessi che mettono la loro vita in piazza sui social; tuttavia è preciso dovere di chi per la propria attività necessita dei dati dell’utenza di proteggerli adeguatamente e, in questo caso, sembra proprio non sia stato fatto e suona stonata la parte della comunicazione agli utenti con cui De Agostini dichiara che “La nostra società presta da sempre la massima attenzione alla tutela della privacy dei propri utenti ed il nostro team IT è al lavoro da ieri per analizzare i problemi legati al leak e risolverli nel più breve tempo possibile”
Che il pericolo di vedere i nostri dati oggetto di furto non ci deve far distogliere però gli occhi anche dalle piccole realtà. È di pochi giorni fa la notizia di una farmacia di Varese che ha dovuto chiudere per ripristinare il proprio sistema informativo vittima anch’esso di un attacco che aveva portato al furto dei dati dei propri clienti per il rilascio dei quali era stato chiesto un riscatto. Anche in questo caso dati di minori e quelli relativi alle patologie per le quali i clienti acquistavano medicinali che potrebbero andare in mano di chiunque, magari di un venditore di cure palliative.
Queste due vicende richiamano l’attenzione sulla necessità da un lato per le aziende di applicare il Reglamento Europeo in materia di protezione dati personali, ma anche per tutti gli utenti della rete di porre in essere quei minimi accorgimenti di non usare password deboli quali date di nascita o la consueta serie di numeri da uno a nove. Il furto di dati sembra sia adesso il crimine più redditizio che si possa commettere. Impariamo a difenderci.