Cosa possiamo fare se riceviamo una notifica di violazione di dati

Date le abilità degli hacker, la relativa facilità con cui riescono a penetrare nei mercati e nei sistemi e l’aumento del numero dei servizi online e delle persone connesse ad

violazione di dati 2

Date le abilità degli hacker, la relativa facilità con cui riescono a penetrare nei mercati e nei sistemi e l’aumento del numero dei servizi online e delle persone connesse ad Internet, non ci sorprende che un numero sempre maggiore di server aziendali venga violato e compromesso.

Se non hai mai ricevuto finora una notifica di violazioni di dati, preparati, perché potrebbe succedere. Uno di questi giorni, potresti aprire la casella di posta in arrivo e trovare una notifica in cui si afferma che qualcuno è riuscito a entrare nei server e a rubare i tuoi dati.

Purtroppo, nell’attuale era di Internet, la violazione di dati pare sia uno dei prezzi da pagare per poter eseguire operazioni online. Una notifica di violazione informa l’utente che un hacker ha compromesso e saccheggiato dati da un database appartenente a un fornitore di servizi online a cui l’utente è registrato. Tali notificazioni spesso includono una lista con i dati rubati come nomi, date di nascita, password crittografate, indirizzo e-mail, numeri di telefono e molte altre informazioni personali. In molti casi, gli hacker penetrano nei server aziendali e riescono a rubare informazioni relative a immobili e beni di proprietà, polizze assicurative, cartelle mediche, segreti di stato, dati di pagamento e altri tipi di informazioni confidenziali. A violazione avvenuta, alcune aziende offrono un servizio gratuito di credit monitoring (un servizio di monitoraggio dei dati) perché un furto di dati può portare a un furto di identità. Quando succedono questi incidenti, quasi tutte le aziende cercano di minimizzare l’accaduto, comunicano il loro cordoglio, fanno presente che i tuoi dati personali sono molto importanti per loro e che prendono seriamente la questione della sicurezza – ma tutto suona un po’ ironico.

La prima cosa da fare è leggere attentamente la notifica e analizzare i potenziali danni. Se il numero dei dati sensibili e delle informazioni bancarie (come dati di pagamento o di polizze assicurative) è molto alto, è bene sottoscriversi a un credit monitoring service. Se la violazione è grave, in genere viene offerto un servizio di monitoraggio gratuito per un anno. Inoltre, è bene tenere sotto controllo la carta di credito e l’estratto conto. Le violazioni che finiscono per compromettere dati di tipo bancario sono un po’ più rare e quelle riguardanti  dati bancari non crittografati lo sono ancora di più. Se risulta che l’azienda stava immagazzinando i dati di pagamento o altri dati sensibili in plain-text (ovvero, via testo non formattato), faresti bene a lamentarti perché non c’è nulla che dimostri di più che all’azienda “non importa nulla dei suoi clienti” che immagazzinare dati di pagamento in plain-text.

La violazione di dati bancari rappresenta la peggiore delle ipotesi per la maggior parte dei consumatori. Le aziende e i governi sono terrorizzati dall’idea di perdere dati di registro catastale, segreti di stato o e-mail imbarazzanti. In questo post ci focalizzeremo sulla violazioni di dati ai danni dei consumatori, ma i nostri amici di Threatpost hanno pubblicato un articolo molto interessante sulle violazioni aziendali.

La maggior parte delle notifiche informeranno gli utenti che le violazioni in questione riguardano password hash. Le violazioni di password in plain-text sono molto meno frequenti. Plain-text (testo non formattato) significa esattamente quello che pensi. I responsabili della violazione dei dati avranno una copia esatta delle tue password. Se la notifica dice che le password erano ‘hasherate’ significa che gli hacker hanno una versione crittografata delle tue password. Se le password vengono immagazzinate in plain-text, è bene cambiare immediatamente la password del servizio compromesso – e di tutte quelle pagine che utilizzano la stessa password. Torniamo a dirvi che sarebbe bene pensarci su due volte prima di continuare a utilizzare un account che passa attraverso una azienda che salva le password in plain-text. Se le password vengono ‘hasherate’, è bene aggiornarle il prima possibile; tuttavia, sebbene sia difficile, non è impossibile per un hacker ricostruire una password hash.

Alla luce di quanto detto finora, è bene operare sotto la consapevolezza che le violazioni di dati avvengono con molta più frequenza di quanto possiamo immaginarci. Per evitarle, si consiglia di cambiare le password ogni due o tre mesi. Quanto maggiore sarà periodo di tempo in cui userai la stessa password, tanto più sarà facile per un hacker compromettere l’account – specialmente se usi le stesse credenziali per più login. A quasi tutte le compagnie (tra queste Evernote e Dropbox) è capitato di essere vittima di una violazione di dati.

Le violazioni di dati sono inoltre irreversibili. Una volta che le informazioni sono state compromesse, non si può più tornare indietro. La cosa migliore è prestare molta attenzione. La maggior parte dei dati ottenuti attraverso le violazioni vengono usate per mettere a punto attacchi phishing e di ingegneria sociale. In quest’ultimo caso vengono utilizzati in particolare nomi, indirizzi di posta elettronica, date di nascita e altri dati apparentemente innocui; l’obiettivo è sempre quello: mettere a punto attacchi phishing, spear-phishing e campagne “watering hole”.

In seguito ad alcuni casi di violazione, i fornitori di servizi online hanno implementato i loro servizi con nuove misure di sicurezza, come il secondo passaggio di autenticazione o “HTTPS everywhere”. Il miglior consiglio è quello di rimanere sempre aggiornati sulle ultime novità offerte dal mercato, applicare agli account i migliori parametri di sicurezza disponibili, specialmente per quegli account che contengono informazioni sensibili, e tenere d’occhio i grandi vendor di software, browser e sistemi operativi, come Google, Microsoft, Apple e Adobe. In risposta a certi tipi di incidenti, sono soliti pubblicare aggiornamenti di sicurezza e consigli pensati per ammortizzare il colpo.

Consigli