Data Breach Morele.net; alcune considerazioni

Come saprete, l’autority per la protezione dei dati personali della Polonia ha sanzionato la società di e-commerce Morele.net, a seguito del data breach occorsole, della somma di 2.800.000 PLN (circa 650.000 euro).

Stando alle poche informazioni disponibili, il data breach è avvvenuto ad ottobre 2018, ed ha interessato oltre 2,2 milioni di acquirenti.

Tra i dati esfiltrati: nome utente, password (md5crypt hashed), nominativi, numeri telefonici, indirizzi e-mail, indirizzi di spedizione; alcuni clienti (circa 35.000) avevano informazioni addizionali quali informazioni di pagamento, numeri identificativi, livello di istruzione, provenienza e valorizzazione delle proprie finanze, spese sostenute e stato matrimoniale.

La società si è resa conto del data breach a novembre, quando alcuni clienti hanno avvisato di aver ricevuto richieste di ulteriori pagamenti per prodotti che hanno acquistato; erano state predisposte alcune false pagine ad-hoc per ricevere i pagamenti illeciti.

Il garante polacco ha identificato tre infrazioni primarie al Regolamento GDPR:

  • l’azienda non ha rispettato i dettami inerenti ai concetti integrità e confidenzialità;
  • non ha predisposto un sistema di monitoraggio per evidenziare le minacce ed accorgersi della violazione dei dati personali;
  • non ha saputo dimostrare lo specifico consenso relativo ai dati personali di ciascun trattamento.

Sembra che i cracker abbiano avuto accesso alle basi dati tramite il famoso (e purtroppo omnipresente) phpmyadmin.

Questa è la classica situazione nella quale versano moltissime aziende italiane; modalità reattiva, si spera nel meglio e si interviene a danno occorso.

Occorre adottare un nuovo paradigma; modalità proattiva; prevenire, invece che intervenire ex post.

Con security assessment, penetration test e valutazioni di rischio preventive (ad esempio, faccio sempre disabilitare/limitare phpmyadmin, comodo per gli admin ma troppo rischioso).

Da ultimo, e consentitemelo, non è possibile accorgersi di un data breach a distanza di un mese, quando i clienti avvisano che qualcosa non va; specialmente se hai una azienda di e-commerce con due milioni e mezzo di clienti.

P.S. si vocifera che il database frutto del databreach sia disponibile nel dark web; ovviamente non ho verificato.