Stefano Gazzella : 2 Novembre 2023 08:39
Cosa può succedere in caso di data breach di un e-commerce? Nel caso oggetto del provvedimento del Garante per la protezione dei dati personali n. 351 del 3 agosto 2023, è possibile che l’Authority eserciti i propri poteri correttivi. E come in questo caso può ingiungere non solo di comunicare la violazione agli interessati, ma anche di adottare le misure di sicurezza adeguate indicandone alcune come prioritarie.
Dal provvedimento è possibile così desumere alcuni elementi utili per la gestione della violazione dei dati personali nel contesto dell’e-commerce, applicabili in situazioni analoghe soprattutto per la valutazione dei rischi e il remediation plan.
Tutto ha avuto inizio con un cliente che ha segnalato al gestore dell’e-commerce di aver reperito nel dark web un leak di dati riferibili al sito. All’esito della successiva indagine è stato accertata la violazione, consistente in una perdita di confidenzialità dei dati derivante da un accesso abusivo con esfiltrazione, e dunque è stata effettuata la notifica al Garante Privacy.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
- L'acquisto del fumetto sul Cybersecurity Awareness
- Ascoltando i nostri Podcast
- Seguendo RHC su WhatsApp
- Seguendo RHC su Telegram
- Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
c) le analisi conseguentemente condotte dalla società hanno consentito di accertare che la violazione ha tratto origine da un “hack del CMS […] Prestashop 1.7.6.5 […] con accesso del database e esportazione e pubblicazione” che ha interessato “un Backup-Server dei ns. Sistemi CMS, il quale al momento della violazione si trovava presso l’abitazione di un ns. dipendente informatico senza adeguato sistema di sicurezza a tale data”
d) i dati oggetto di violazione sono stati il “nome, cognome, indirizzo (Via e n° civico se indicato), CAP, città, indirizzo email, data nascita, storico ordini (con prodotti acquistati), password criptato del user-account” di un numero di utenti del sito web che il titolare ha valutato come “non determinabile”, per un totale di “284.000” registrazioni di dati personali
L’evento è stato valutato come non suscettibile di presentare un rischio elevato per gli interessati, dunque non è stata disposta alcuna comunicazione ai sensi dell’art. 34 GDPR.
Il Garante Privacy ha dunque svolto alcuni accertamenti ulteriori con degli accessi online per inquadrare correttamente la violazione e la valutazione del rischio per gli interessati, andando ad approfondire:
All’esito delle verifiche svolte, pertanto, sono stati contestati alcuni passaggi riguardanti la gestione della violazione.
Per quanto riguarda la valutazione di rischi, la violazione è stata considerata di rischio elevato per la natura e numerosità dei dati personali coinvolti dal momento che la perdita di confidenzialità di recapiti e domicili espone gli interessati a potenziali danni di gravità significativa mentre lo storico ordini, che può comprendere anche articoli da cui è possibile desumere informazioni sulla vita sessuale degli acquirenti, espone a rischi di pregiudizio, reputazione o discriminazione.
Per quanto riguarda invece l’adeguatezza delle misure di sicurezza, il Garante ha riscontrato la mancanza di un remediation plan con indicazioni specifiche circa l’adozione di misure correttive e preventive.
Tenuto conto dei rilievi svolti e con la riserva di svolgere ulteriori valutazioni anche in relazione a violazioni e all’applicazione di sanzioni, il provvedimento ha così avuto ad oggetto due ingiunzioni: la prima, riguardante la comunicazione della violazione agli interessati entro 10 giorni; la seconda, riguardante l’adozione di misure di sicurezza adeguate ai rischi entro 20 giorni.
Le misure specificamente prescritte, inoltre, riguardano:
la predisposizione di un programma di formazione del personale in materia di sicurezza informatica e di protezione dei dati personali, l’adozione di software privi di vulnerabilità note, e la periodica e tempestiva applicazione degli eventuali aggiornamenti di sicurezza successivamente resi disponibili dai produttori di tali software;
ma viene richiesto di rendicontare anche le eventuali ulteriori sempre entro il medesimo termine di 20 giorni.
Una valida lezione per tutti riguardante gli elementi da attenzionare: gestori di e-commerce, consulenti privacy e DPO.
Sono state scoperte vulnerabilità critiche nel Triton Inference Server di NVIDIA, che minacciano la sicurezza dell’infrastruttura di intelligenza artificiale su Windows e Linux. La soluzio...
Attraverso la funzionalità Component Object Model (COM) di BitLocker, gli aggressori possono mettere in atto una tecnica innovativa di pivoting, finalizzata all’esecuzione di codice malevo...
Nel dicembre 2020, il mining pool cinese LuBian, che all’epoca occupava quasi il 6% della capacità totale della rete Bitcoin, è stato vittima di un attacco la cui portata è stata...
Ne avevamo parlato con un articolo sul tema diverso tempo fa redatto da Massimiliano Brolli. Oggi la sicurezza informatica non è più un’opzione né un valore accessorio: è un...
Scienziati della Nanyang Technological University, insieme a colleghi giapponesi, hanno creato la prima linea robotica al mondo per la produzione in serie di scarafaggi cyborg. Ciò ha permesso di...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006