Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Cosa può succedere in caso di data breach di un e-commerce? Nel caso oggetto del provvedimento del Garante per la protezione dei dati personali n. 351 del 3 agosto 2023, è possibile che l’Authority eserciti i propri poteri correttivi. E come in questo caso può ingiungere non solo di comunicare la violazione agli interessati, ma anche di adottare le misure di sicurezza adeguate indicandone alcune come prioritarie.
Dal provvedimento è possibile così desumere alcuni elementi utili per la gestione della violazione dei dati personali nel contesto dell’e-commerce, applicabili in situazioni analoghe soprattutto per la valutazione dei rischi e il remediation plan.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Tutto ha avuto inizio con un cliente che ha segnalato al gestore dell’e-commerce di aver reperito nel dark web un leak di dati riferibili al sito. All’esito della successiva indagine è stato accertata la violazione, consistente in una perdita di confidenzialità dei dati derivante da un accesso abusivo con esfiltrazione, e dunque è stata effettuata la notifica al Garante Privacy.
c) le analisi conseguentemente condotte dalla società hanno consentito di accertare che la violazione ha tratto origine da un “hack del CMS […] Prestashop 1.7.6.5 […] con accesso del database e esportazione e pubblicazione” che ha interessato “un Backup-Server dei ns. Sistemi CMS, il quale al momento della violazione si trovava presso l’abitazione di un ns. dipendente informatico senza adeguato sistema di sicurezza a tale data”
d) i dati oggetto di violazione sono stati il “nome, cognome, indirizzo (Via e n° civico se indicato), CAP, città, indirizzo email, data nascita, storico ordini (con prodotti acquistati), password criptato del user-account” di un numero di utenti del sito web che il titolare ha valutato come “non determinabile”, per un totale di “284.000” registrazioni di dati personali
L’evento è stato valutato come non suscettibile di presentare un rischio elevato per gli interessati, dunque non è stata disposta alcuna comunicazione ai sensi dell’art. 34 GDPR.
Il Garante Privacy ha dunque svolto alcuni accertamenti ulteriori con degli accessi online per inquadrare correttamente la violazione e la valutazione del rischio per gli interessati, andando ad approfondire:
All’esito delle verifiche svolte, pertanto, sono stati contestati alcuni passaggi riguardanti la gestione della violazione.
Per quanto riguarda la valutazione di rischi, la violazione è stata considerata di rischio elevato per la natura e numerosità dei dati personali coinvolti dal momento che la perdita di confidenzialità di recapiti e domicili espone gli interessati a potenziali danni di gravità significativa mentre lo storico ordini, che può comprendere anche articoli da cui è possibile desumere informazioni sulla vita sessuale degli acquirenti, espone a rischi di pregiudizio, reputazione o discriminazione.
Per quanto riguarda invece l’adeguatezza delle misure di sicurezza, il Garante ha riscontrato la mancanza di un remediation plan con indicazioni specifiche circa l’adozione di misure correttive e preventive.
Tenuto conto dei rilievi svolti e con la riserva di svolgere ulteriori valutazioni anche in relazione a violazioni e all’applicazione di sanzioni, il provvedimento ha così avuto ad oggetto due ingiunzioni: la prima, riguardante la comunicazione della violazione agli interessati entro 10 giorni; la seconda, riguardante l’adozione di misure di sicurezza adeguate ai rischi entro 20 giorni.
Le misure specificamente prescritte, inoltre, riguardano:
la predisposizione di un programma di formazione del personale in materia di sicurezza informatica e di protezione dei dati personali, l’adozione di software privi di vulnerabilità note, e la periodica e tempestiva applicazione degli eventuali aggiornamenti di sicurezza successivamente resi disponibili dai produttori di tali software;
ma viene richiesto di rendicontare anche le eventuali ulteriori sempre entro il medesimo termine di 20 giorni.
Una valida lezione per tutti riguardante gli elementi da attenzionare: gestori di e-commerce, consulenti privacy e DPO.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
La sicurezza informatica è un tema che non scherza, specialmente quando si parla di vulnerabilità che possono compromettere l’intero sistema. Ebbene, Hewlett Packard Enterprise (HPE) ha appena lan...
La Cybersecurity and Infrastructure Security Agency (CISA) ha diramato un’allerta critica includendo tre nuove vulnerabilità nel suo catalogo delle minacce informatiche sfruttate (KEV), evidenziand...
Quando si parla di sicurezza informatica, è normale pensare a un gioco costante tra chi attacca e chi difende. E in questo gioco, le vulnerabilità zero-day sono il jackpot per gli hacker criminali. ...
L’Open Source Intelligence (OSINT) è emersa, negli ultimi anni, come una delle discipline più affascinanti, ma anche più insidiose, nel panorama dell’informazione e della sicurezza. La sua esse...
La psicologia delle password parte proprio da qui: cercare di capire le persone prima dei sistemi. Benvenuti in “La mente dietro le password”, la rubrica che guarda alla cybersecurityda un’angol...
