Amazon resetta le password dei propri clienti: nuovo data breach?

0

La questione è venuta a galla lo scorso 8 ottobre 2016 e si tratterebbe di una notizia clamorosa, al pari di quella di Yahoo! del mese scorso, che segue una lunga scia di eventi ormai diventati routinari.

Infatti, pare che Amazon abbia inviato un numero imprecisato di messaggi di posta elettronica, avvertendo i propri clienti che le loro password erano state ripristinate.

La mossa ha rappresentato sicuramente una misura protettiva, presa dopo che il team di sicurezza di Amazon ha scoperto un elenco di indirizzi e-mail e password pubblicato on-line.

L’e-mail di Amazon afferma: “(…) abbiamo scoperto una lista di indirizzi e-mail e password pubblicate online. Anche se la lista non è correlata direttamente ad Amazon, sappiamo che molti clienti hanno l’abitudine ad utilizzare le medesime password su più siti web. Dal momento che riteniamo che i vostri indirizzi e-mail e le password fossero sulla lista, per motivi di enorme cautela abbiamo assegnato una password temporanea al tuo account Amazon.com“.

L’e-mail continua suggerendo ai clienti  l’autenticazione “a due fasi”, quale ulteriore livello di protezione.

Amazon non ha condiviso alcun dettaglio relativo alla lista in cui ha scoperto le credenziali riciclate, ma un portavoce ha confermato la diffusione di e-mail e password e, di conseguenza, si è deciso di incoraggiare i clienti a correre ai ripari.

Ultimamente si sente sempre più di frequente parlare di “data breach“. Ma cosa si intende esattamente per tale fenomeno?

Una risposta – incompleta – è fornita dal nostro Codice della Privacy, nonchè dalla Direttiva Europea 2002/58/CE (modificata dalla 2009/136/CE): entrambe le normative hanno ripreso la definizione dallo standard ISO/IEC27040:  “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico nella Comunità”.

In realtà, il concetto di “data breach” è molto più ampio e non riguarda strettamente i dati personali e i servizi accessibili al pubblico, ma ha rilievo in qualsiasi contesto in cui ci sia una violazione dei dati.

Il data breach si sostanzia, in qualunque campo,  nella trasmissione o comunicazione non autorizzata di informazioni “sensibili” ad una parte, solitamente esterna alla organizzazione-vittima, la quale non è autorizzata a possedere o trattare l’informazione trasmessa o comunicata illegittimamente.

Si tratta, quindi, di accadimenti dolosi o colposi che compromettono uno o più dei pilastri della sicurezza informatica, vale a dire:
– l’integrità del dato;
– la disponibilità del dato;
– la riservatezza del dato.

Ebbene, quando capita un data breach a un fornitore di servizi di comunicazione elettronica accessibili al pubblico (in primo luogo si pensi a un internet service provider), quest’ultimo (art. 32 bis d.lgs. 196/03) ha l’obbligo di comunicare detta violazione al Garante della privacy.
In proposito il Garante, con il provvedimento n. 161 del 4 aprile 2013, ha precisato che esulano dalla applicazione di tale disposizione determinati soggetti:
– chi offre direttamente servizi di comunicazione elettronica a gruppi delimitati di persone;
– titolari e gestori di esercizi pubblici o privati che si limitano a mettere a disposizione apparecchi terminali ovvero punti di accesso alla rete (ad es. gli Internet Point);
– gestori dei siti internet che diffondono contenuti sulla rete (i “content provider”);
– gestori di motori di ricerca.

Per assolvere all’obbligo di comunicazione è disponibile un apposito modello da compilare sul sito del Garante Privacy “senza indebiti ritardi”.

Tale comunicazione deve contenere alcune informazioni sommarie che permettano al Garante di valutare subito la gravità della situazione, tra cui:
– i dati identificativi del titolare del trattamento;
– la sintetica descrizione del data breach;
– l’indicazione della data e del luogo della violazione;
– la sintetica descrizione dei sistemi di elaborazione o di memorizzazione dei dati coinvolti. 

Vincenzo Di Ciò

Replica

la tua email non verrà pubblicata

Puoi usare HTML e attributi : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Questo sito utilizza cookie. Utilizzando il sito in qualunque forma, accetti l'utilizzo dei cookie da parte nostra maggiori informazioni

Masterlex.it fa uso di cookie tecnici per ricordare la scelta dell'utente, cookie di profilazione e di terze parti pertanto si richiede il consenso nella qualità di intermendiari tecnici. Procedendo con la navigazione in qualunque maniera anche facendo scroll o mediante accesso ad altra area del sito comporta la prestazione del consenso all'uso dei cookie. Continuando a utilizzare questo sito o cliccando su "Accetta" permetti al loro utilizzo. Consulta L'informativa Estesa per maggiori informazioni

Chiudi