Le principali fughe di dati del 2014: la classifica

Ogni anno ben un milione di persone rimangono vittima di numerosi attacchi hacker e fughe di dati. Quasi sempre le conseguenze sono drammatiche: i dati delle carte di credito e le credenziali di banca online vengono venduti sul mercato nero di Internet e le aziende devono sborsare un sacco di soldi per risarcire i clienti e i consumatori.

Ogni anno ben un milione di persone rimangono vittima di numerosi attacchi hacker e fughe di dati. Quasi sempre le conseguenze sono drammatiche: i dati delle carte di credito e le credenziali di banca online vengono venduti sul mercato nero di Internet e le aziende devono sborsare un sacco di soldi per risarcire i clienti e i consumatori.

In occasione del Data Privacy Day, abbiamo deciso di fare una rassegna dei principali attacchi del 2014, attachi che hanno portato alla perdita di dati di moltissimi clienti. Abbiamo incluso, inoltre, alcuni incidenti che hanno avuto molta rilevanza per le aziende sia in termini di costi (processo, risarcimenti…) che di reputazione.

Le grandi catene nell’occhio del ciclone

Sicuramente le grandi catene di rivenditori sono un bocconcino appetitoso per gli hacker dato che custodiscono milioni di dati. Naturalmente, il 2014 non è stato un’eccezione. Diamo un’occhiata ai casi più importanti.

A quanto pare (anche se non è del tutto esatto) lo stesso gruppo hacker ha violato 3 grandi catene di rivenditori: la grande catena Target (70 milioni di dati tra cui informazioni bancarie, numeri di telefono, email e altri dati), la catena di profumerie Sally Beauty (25.000 dati rubati) e la catena Home Depot (dati di 56 milioni di carte di credito e 53 milioni di email rubate).

L’attacco a Sally Beauty si è rivelato piuttosto paradossale dato che gli hacker stessi poi sono stati hackerati. I dati rubati erano stati messi in vendita su diversi siti nel mercato nero di Internet, e proprio uno di questi siti è stato poi hackerato da un’altro pirata informatico. Il “buon hacker”, però, ha lasciato sull’homepage del sito un messaggio e un video “alla Man in Black”.

sallybeautyMa c’è stato un’altro attacco che è stato sulla bocca di tutti per molto tempo: la fuga di dati, login e password da eBay che ha colpito più di 145 milioni di clienti. Per via di questo colpo l’azienda ha dovuto affrontare una class action. Secondo PC World, i membri del gruppo che hanno sporto denuncia hanno chiesto 5 milioni di dollari, interessi e costi del processo esclusi.

Banche, grandi brand, compagnie telefoniche: tra le più a rischio

Banche, aziende presenti su Internet, note aziende produttrici (Apple, Micrpsoft…), compagnie telefoniche e agenzie governative… sono tutti enti a rischio. Sicuramente avrete sentito parlare dell’attacco a Sony e del furto di foto appartenenti a molte celebrity, due dei più popolari incidenti del 2014. Ma entriamo nei dettagli, caso per caso.

Happy Weekend! #protectyourselfie

A photo posted by Kaspersky Lab (@kasperskylab) on

Le banche vengono attaccate in tutto il mondo. A gennaio dello scorso anno, a più di 20 milioni di utenti della Korea Credit Bureau sono stati rubati i dati bancari. Il responsabile? Un impiegato della banca.

Banche, aziende presenti su Internet, noti brand, compagnie telefoniche e agenzie governative, sono tutti enti a rischio.

A febbraio la banca britannica Barclays è stata presa d’assedio: sono stati rubati e rivenduti 27.000 dati. Per colpa di questo attacco, la banca ha perso molta credibilità e ha dovuto risarcire i clienti i cui dati erano stati rivenduti sul mercato nero.

A giugno, anche i dati personali e privati di più di 80 milioni di clienti JP Morgan (società finanziaria statunitense, leader nel settore bancario) sono stati rubati. La banca non ha detto nulla per vari mesi ed ha denunciato l’accaduto solo nell’ottobre del 2014.

In seguito al grande attacco che ha colpito 27 milioni di utenti (80% della popolazione), le autorità della Corea del Sud hanno valutato la possibilità di ridisegnare completamente il sistema di registrazione informatica delle carte d’identità.

Anche per Telcos l’anno è stato duro. Lo scorso anno, la compagnia di telefonia francese, Orange, è stata hackeata ben due volte in tre mesi e ha registrato la perdita di 1.3 milioni di dati appartenenti ai suoi utenti. Quel che è peggio è che gli hacker hanno compromesso la piattaforma del software che l’azienda ha usato per inviare email promozionali e sms a quei clienti che avevano aderito al servizio. Non c’è dubbio che ora le persone ci penseranno due volte prima di iscriversi al servizio.

Ad ottobre, AT&T ha dovuto licenziare un impiegato troppo curioso che era riuscito a ottenere informazioni entrando negli account di 1.600 clienti, sottraendo dati della provvidenza sociale e della patente di guida.

Ad ottobre, la sfortuna ha fatto visita al servizio di hosting Dropbox. I dati di circa 7 milioni di utenti sono stati sotratti dal Web. L’azienda ha affermato che le credenziali di login sono state rubate da un sito esterno o da un’app. Va detto però che la scelta della password è sempre cruciale. Non importa quanto le aziende cerchino di proteggere il proprio server, non si può far nulla contro la disattenzione o la poca preparazione degli utenti. Ci dobbiamo aspettare molte fughe di dati in futuro se non smettiamo di usare password come “1234”.

Di quanti dati stiamo parlando?

Per esempio, i dati dei clienti Park ‘N Fly, un parking service aeroportuale, vengono venduti ad un prezzo che varia dai 6 ai 9 dollari per cartella di dati. La cartella include numero della tessera, data di scadenza, codici di verifica, così come nome e cognome del proprietario, indirizzo e numero di telefono. I clienti di Barclays, invece – come si poteva immaginare-, sono valutati molto di più (fino a 76 dollari a file).

Nonostante tutti vendano e comprino informazioni, il prezzo di un unico dato è relativamente basso.

Il prezzo della reputazione è un po’ più alto, specialmente quando ci si trova in tribunale. Barclays ha offerto un risarcimento di 770 dollari a quei clienti i cui dati non solo erano stati violati ma, oltre al danno economico, erano stati offesi pubblicamente. La banca ha dovuto moltiplicare il risarcimento per qui clienti che si erano lamentati in modo particolare, alcuni dei quali hanno ricevuto circa 1.500 dollari.

Oltre ai risarcimenti, di spese ce ne sono tante. Per esempio, Home Depot ha speso 43 milioni di dollari per gestire le conseguenze di un “leakaggio”. I soldi sono serviti per le indagini, per dare supporto e protezione ai clienti in merito al furto d’identità, aumentare e pagare lo staff del call center e altri servizi legali e professionali.

In conclusione, ci piacerebbe ricordare che oggi, negli Stati Uniti, in Canada e in altri 27 paesi d’Europa è il Data Privacy Day. Approfittiamone per pensare ad un modo per migliorare la protezione dei nostri dati personali. Per esempio, possiamo iniziare a usare password uniche e affidabili. Che ne dite?

Consigli