Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Data breach di un e-commerce: alcune indicazioni di gestione della violazione dal Garante Privacy.

Stefano Gazzella : 2 Novembre 2023 08:39

Cosa può succedere in caso di data breach di un e-commerce? Nel caso oggetto del provvedimento del Garante per la protezione dei dati personali n. 351 del 3 agosto 2023, è possibile che l’Authority eserciti i propri poteri correttivi. E come in questo caso può ingiungere non solo di comunicare la violazione agli interessati, ma anche di adottare le misure di sicurezza adeguate indicandone alcune come prioritarie.

Dal provvedimento è possibile così desumere alcuni elementi utili per la gestione della violazione dei dati personali nel contesto dell’e-commerce, applicabili in situazioni analoghe soprattutto per la valutazione dei rischi e il remediation plan.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Tutto ha avuto inizio con un cliente che ha segnalato al gestore dell’e-commerce di aver reperito nel dark web un leak di dati riferibili al sito. All’esito della successiva indagine è stato accertata la violazione, consistente in una perdita di confidenzialità dei dati derivante da un accesso abusivo con esfiltrazione, e dunque è stata effettuata la notifica al Garante Privacy.

c) le analisi conseguentemente condotte dalla società hanno consentito di accertare che la violazione ha tratto origine da un “hack del CMS […] Prestashop 1.7.6.5 […] con accesso del database e esportazione e pubblicazione” che ha interessato “un Backup-Server dei ns. Sistemi CMS, il quale al momento della violazione si trovava presso l’abitazione di un ns. dipendente informatico senza adeguato sistema di sicurezza a tale data”

d) i dati oggetto di violazione sono stati il “nome, cognome, indirizzo (Via e n° civico se indicato), CAP, città, indirizzo email, data nascita, storico ordini (con prodotti acquistati), password criptato del user-account” di un numero di utenti del sito web che il titolare ha valutato come “non determinabile”, per un totale di “284.000” registrazioni di dati personali

L’evento è stato valutato come non suscettibile di presentare un rischio elevato per gli interessati, dunque non è stata disposta alcuna comunicazione ai sensi dell’art. 34 GDPR.

Il Garante Privacy ha dunque svolto alcuni accertamenti ulteriori con degli accessi online per inquadrare correttamente la violazione e la valutazione del rischio per gli interessati, andando ad approfondire:

  • le categorie dei prodotti commercializzati, individuandone alcune idonee a rivelare informazioni sulla vita sessuale degli acquirenti;
  • la disponibilità in rete dei dati personali sottratti, individuando 1,8Gb di dati personali di circa 900mila utenti del sito accessibili a pagamento;
  • le misure di sicurezza adottate, con particolare riguardo alle vulnerabilità software, individuandone una irrisolta al tempo della violazione nonostante la disponibilità di un aggiornamento da parte del produttore.

All’esito delle verifiche svolte, pertanto, sono stati contestati alcuni passaggi riguardanti la gestione della violazione.

Per quanto riguarda la valutazione di rischi, la violazione è stata considerata di rischio elevato per la natura e numerosità dei dati personali coinvolti dal momento che la perdita di confidenzialità di recapiti e domicili espone gli interessati a potenziali danni di gravità significativa mentre lo storico ordini, che può comprendere anche articoli da cui è possibile desumere informazioni sulla vita sessuale degli acquirenti, espone a rischi di pregiudizio, reputazione o discriminazione.

Per quanto riguarda invece l’adeguatezza delle misure di sicurezza, il Garante ha riscontrato la mancanza di un remediation plan con indicazioni specifiche circa l’adozione di misure correttive e preventive.

Tenuto conto dei rilievi svolti e con la riserva di svolgere ulteriori valutazioni anche in relazione a violazioni e all’applicazione di sanzioni, il provvedimento ha così avuto ad oggetto due ingiunzioni: la prima, riguardante la comunicazione della violazione agli interessati entro 10 giorni; la seconda, riguardante l’adozione di misure di sicurezza adeguate ai rischi entro 20 giorni.

Le misure specificamente prescritte, inoltre, riguardano:

la predisposizione di un programma di formazione del personale in materia di sicurezza informatica e di protezione dei dati personali, l’adozione di software privi di vulnerabilità note, e la periodica e tempestiva applicazione degli eventuali aggiornamenti di sicurezza successivamente resi disponibili dai produttori di tali software;

ma viene richiesto di rendicontare anche le eventuali ulteriori sempre entro il medesimo termine di 20 giorni.

Una valida lezione per tutti riguardante gli elementi da attenzionare: gestori di e-commerce, consulenti privacy e DPO.

Stefano Gazzella
Privacy Officer e Data Protection Officer, specializzato in advisoring legale per la compliance dei processi in ambito ICT Law. Formatore e trainer per la data protection e la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Giornalista pubblicista, fa divulgazione su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Dentro la mente di LockBit: profilazione criminologica di un gruppo ransomware “aziendale”

Nel mondo del cybercrime moderno, dove le frontiere tra criminalità e imprenditoria si fanno sempre più sfumate, il gruppo ransomware LockBit rappresenta un caso di studio affascinante. Atti...

Più le AI diventano come noi, più soffriranno di Social Engineering? Il caso di Copilot che preoccupa

Microsoft 365 Copilot è uno strumento di intelligenza artificiale integrato in applicazioni Office come Word, Excel, Outlook, PowerPoint e Teams. I ricercatori hanno recentemente scoperto che lo ...

CVE-2025-32710: La falla zero-click nei servizi RDP che può causare la totale compromissione del tuo server

Una vulnerabilità di sicurezza critica nei Servizi Desktop remoto di Windows, monitorata con il codice CVE-2025-32710, consente ad aggressori non autorizzati di eseguire codice arbitrario in...

RHC Intervista GhostSec: l’hacktivismo tra le ombre del terrorismo e del conflitto cibernetico

Ghost Security, noto anche come GhostSec, è un gruppo hacktivista emerso nel contesto della guerra cibernetica contro l’estremismo islamico. Le sue prime azioni risalgono alla fase success...

Arriva PathWiper! Il nuovo malware che devasta le infrastrutture critiche in Ucraina

Gli analisti di Cisco Talos hanno segnalato che le infrastrutture critiche in Ucraina sono state attaccate da un nuovo malware che distrugge i dati chiamato PathWiper. I ricercatori scrivono...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006