Data breach

Da Wikipedia, l'enciclopedia libera.
Vai alla navigazione Vai alla ricerca

Nella sicurezza informatica, si definisce data breach, o violazione dei dati oppure fuga di dati, la diffusione intenzionale o non intenzionale, in un ambiente non affidabile, di informazioni protette o private/confidenziali. Un concetto simile è la "fuga di informazioni" (in inglese information leakage). Incidenti di questo tipo spaziano da attacchi dei cosiddetti black hat, individui che compiono attacchi informatici per qualche forma di lucro personale, associati con criminalità organizzata, attivisti politici o governi nazionali, a imprudente abbandono di apparecchi informatici o supporti di memoria e fonti non attaccabili da hacker.

Definizione: "Una violazione dei dati è una violazione della sicurezza in cui dati sensibili, protetti o riservati vengono copiati, trasmessi, visti, rubati o utilizzati da un individuo non autorizzato a farlo".[1] I data breach possono riguardare informazioni finanziarie come particolari di carte di credito e debito, dati bancari, informazioni sulla salute personale (PHI), dati personali (PII), segreti industriali o aziendali o proprietà intellettuale. La maggior parte di queste fughe di dati riguardano dati non strutturati sovraesposti e vulnerabili — archivi, documenti, e informazioni sensibili.[2]

I data breach possono comportare spese rilevanti per le organizzazioni per costi diretti (ripristini, indagini, eccetera) e indiretti (danni di reputazione, prestazioni di sicurezza informatica a beneficio delle vittime della compromissione di dati, eccetera).

Secondo l'organizzazione dei consumatori no-profit Privacy Rights Clearinghouse, negli Stati Uniti tra gennaio 2005 e maggio 2008, escludendo incidenti che apparentemente non riguardavano dati sensibili, furono coinvolti in falle di sicurezza un totale di 227 052 199 record (campi) singoli contenenti informazioni personali sensibili.[3]

Molte giurisdizioni hanno adottato leggi sulla notifica delle falle di sicurezza, che impongono ad un'impresa coinvolta in un data breach di informare i clienti ed assumere altri provvedimenti per rimediare ad eventuali danneggiamenti.

Un data breach può comprendere incidenti come furto o smarrimento di mezzi digitali quali nastri magnetici, dischi rigidi, o computer portatili contenenti mezzi simili, su cui le informazioni sono immagazzinate senza cifratura, la divulgazione di dette informazioni sul web o su un computer altrimenti accessibile via internet senza idonee precauzioni di sicurezza informatica, il trasferimento di dette informazioni ad un sistema che non è completamente aperto ma non è appropriatamente o formalmente accreditato per la sicurezza al livello approvato, come una e-mail non criptata, o il trasferimento di tali informazioni ai sistemi informativi di un organismo potenzialmente ostile, come un'impresa concorrente o un Paese straniero, dove può essere assoggettato a tecniche di decrittazione più approfondite.

Lo standard ISO/IEC 27040 definisce un data breach come: compromissione della sicurezza che porta alla distruzione accidentale o illegale, perdita, alterazione, divulgazione non autorizzata o accesso a dati protetti trasmessi, memorizzati o altrimenti elaborati.[4]

Fiducia e riservatezza

[modifica | modifica wikitesto]

Il concetto di ambiente affidabile è in qualche modo fluido. L'allontanamento di un membro fidato dello staff con accesso ad informazioni sensibili può diventare un data breach se il membro dello staff conserva l'accesso ai dati dopo il termine della relazione fiduciaria. Nei sistemi distribuiti, questo può anche avvenire con un cedimento del web of trust. La qualità dei dati è un modo per ridurre il rischio di un data breach,[5] in parte poiché permette al titolare dei dati di classificarli secondo l'importanza e dare miglior protezione ai dati più importanti.

La maggior parte di questi incidenti pubblicizzati dagli organi di informazione riguardano informazioni private su individui, ad esempio social security number. La perdita di informazioni societarie come segreti industriali, informazioni aziendali sensibili, e particolari di contratti, o di informazioni del governo è spesso non denunciata, poiché non sussiste alcuna ragione stringente per farlo in assenza di potenziale danno per i privati cittadini, e la pubblicità attorno ad un tale evento può essere più dannosa della perdita di dati in sé.[6]

Minacce interne ed esterne

[modifica | modifica wikitesto]

Le persone che lavorano in un'organizzazione sono una causa rilevante di data breach. Le stime di fughe causate da errori accidentali a "fattore umano" variano dal 37% del Ponemon Institute[7] al 14% del Verizon 2013 Data Breach Investigations Report.[8] La categoria delle minacce esterne contempla hacker, organizzazioni di cyber-criminali e soggetti appoggiati da qualche Stato. Le associazioni di professionisti per gestori di risorse IT[9] collaborano intensamente con i professionisti IT per educarli alle migliori pratiche di riduzione del rischio[10] sia per minacce interne sia esterne a risorse IT, software e informazioni. Anche se la prevenzione di sicurezza può sventare un'alta percentuale di tentativi, alla fine un attaccante motivato può probabilmente trovare un varco in ogni rete data. Una delle 10 citazioni preferite dell'A.D. di Cisco John Chambers è, "Ci sono due tipi di società: quelle che hanno subito attacchi hacker, e quelle che non sanno di averli subiti."[11] L'agente speciale FBI per le operazioni speciali informatiche Leo Taddeo avvisò sulla TV Bloomberg, "La nozione che si può proteggere il proprio perimetro sta cadendo nel dimenticatoio e ora è fondamentale il rilevamento."[12]

Data breach medico

[modifica | modifica wikitesto]

Alcuni personaggi famosi hanno scoperto di essere stati vittime di fughe di dati sanitari, benché a titolo individuale, e non nel quadro di un più ampio data breach.[13] Data la serie di data breach medici e la lesione della fiducia pubblica, alcuni Paesi hanno adottato leggi che impongono di porre in essere salvaguardie per proteggere la sicurezza e la confidenzialità delle informazioni sanitarie siccome condivise elettronicamente, e per conferire ai pazienti alcuni importanti diritti per monitorare le proprie registrazioni sanitarie e per ottenere avviso in caso di perdita e acquisizione non autorizzata di informazioni sulla salute. Gli Stati Uniti e la UE hanno imposto l'obbligo di notifica per data breach sanitari.[14] Sono sempre più comuni le fughe di dati sanitari denunciabili negli Stati Uniti.[15]

Iter operativo in caso di presunta violazione

[modifica | modifica wikitesto]

A fronte di una rilevazione di una presunta violazione (da parte di tutto il personale che ne viene a conoscenza), viene data comunicazione interna al DPO (Data Protection Officer, responsabile della protezione dei dati) tramite il responsabile di settore/reparto. La segnalazione al responsabile di settore deve essere effettuata appena se ne viene a conoscenza, utilizzando le modalità più comuni (di persona, via mail, via telefono). La raccolta delle informazioni è a carico del responsabile del settore e va effettuata appena viene ricevuta la segnalazione di data breach. Tali informazioni vanno comunicate al DPO attraverso appositi canali istituzionali. Acquisite tutte le informazioni necessarie, il DPO analizzerà la segnalazione e valuterà la necessità o meno di eseguire la notifica all'autorità di controllo e ai soggetti interessati.

Flusso operativo in caso di data breach

[modifica | modifica wikitesto]

Flusso operativo

Costo medio dei data breach in Germania.[16]

Sebbene questi incidenti creino il rischio del furto d'identità o altre conseguenze serie, nella maggior parte dei casi non c'è alcun danno duraturo; o la falla di sicurezza è riparata prima che le informazioni raggiungano persone senza scrupoli, o il ladro è interessato solo all'hardware rubato, non ai dati che esso contiene. Ciò nonostante, quando incidenti simili diventano di pubblico dominio, è d'uso che la parte responsabile cerchi di mitigare i danni fornendo alla vittima l'abbonamento ad una centrale rischi, per esempio, nuove carte di credito, o altri strumenti. Nel caso di Target, il data breach del 2013 costò a Target un significativo calo dei profitti, che precipitarono del 40 per cento nel quarto trimestre dell'anno.[17] Alla fine del 2015, Target pubblicò una relazione che dichiarava una perdita totale di 290 milioni di dollari per costi collegati a data breach.[18]

La fuga di Yahoo svelata nel 2016 potrebbe essere oggi una delle più onerose. Il prezzo di acquisto da parte di Verizon è stato ridotto di 350 milioni di dollari (su un prezzo originale di 4,8 miliardi di dollari).[19] I reati informatici costano alle società di energia e servizi una media di 12,8 milioni di dollari l'anno tra lucro cessante e apparecchiature danneggiate secondo DNV GL, una società internazionale di certificazione e classificazione con base a Norvegia.[20] I data breach costano alle organizzazioni della salute 6,2 miliardi di dollari tra il 2014 e il 2015, secondo uno studio Ponemon.[21]

Nell'attività di cura della salute più di 25 milioni di persone hanno subito il furto dei loro dati, che ha provocato il furto di identità di più di 6 milioni di persone, e il costo diretto a carico delle vittime è prossimo a 56 miliardi di dollari.[22] Privacy Rights Clearinghouse (PRC) ha dimostrato dati dal gennaio 2005 al dicembre 2018 secondo cui ci sono stati più di 9500 eventi "breach". Inoltre, quali cause portino a ciascun breach come attacco interno, truffa su carta di pagamento,, dispositivo portatile smarrito o rubato, malware ed invio di email a destinatario errato (DISC). Questo mostra che l'errore più comune che porta ad un data breach è causato da esseri umani che maldestramente permettono ad hacker di approfittarne ed eseguire un attacco.[23]

Notoriamente è difficile ottenere informazioni sulla perdita diretta e indiretta derivante da un data breach. Un approccio diffuso per valutare l'impatto dei data breach è studiare le reazioni del mercato ad un tale incidente come rivelatore delle conseguenze economiche. Ciò è tipicamente condotto attraverso l'uso di event study, in cui si può ricostruire una misura dell'impatto economico dell'evento usando i prezzi della sicurezza osservati in un periodo relativamente breve. Sono stati pubblicati parecchi studi di questo genere con varie risultanze, tra cui i lavori di Kannan, Rees, e Sridhar (2007),[24] Cavusoglu, Mishra, and Raghunathan (2004),[25] Campbell, Gordon, Loeb, e Lei (2003)[26] oltre a Schatz e Bashroush (2017).[27]

Poiché il volume dei dati sta crescendo esponenzialmente nell'era digitale e le fughe di dati avvengono più spesso oggi di qualunque altro momento precedente, impedire che informazioni sensibili siano divulgate a soggetti non autorizzati diventa uno dei più assillanti problemi di sicurezza per le imprese.[28] Per salvaguardare dati e finanze, le imprese spesso devo sostenere costi aggiuntivi per adottare misure preventive verso i potenziali data breach.[29] Dal 2017 al 2021 era stata prevista una spesa globale per la sicurezza informatica superiore ad 1 miliardo di dollari.[29]

Principali incidenti

[modifica | modifica wikitesto]
  • D. A. Davidson & Co. 192 000 nomi di clienti, loro account e numeri della previdenza sociale, indirizzi e date di nascita[35]
  • La fuga di dati degli Stati Ohio e Connecticut nel 2007 connessa ad Accenture[36]
  • T.J.Maxx, dati per 45 milioni di account di credito e debito[37]
  • Scandalo dei dati del programma UK di assistenza ai bambini[38]
  • CGI Inc., agosto, 283 000 pensionati di New York[3]
  • Gap, Inc., settembre, 800 000 candidati all'impiego[3]
  • Memorial Blood Center, dicembre, 268 000 donatori di sangue[3]
  • Commissione elettorale della contea di Davidson, dicembre, 337 000 votanti[3]
  • Nel gennaio 2008 GE Money, una divisione di General Electric, rivelò che era andato smarrito da un magazzino della Iron Mountain un nastro magnetico contenente 150 000 numeri della sicurezza sociale e informazioni su carte di credito di 650 000 clienti al dettaglio. J.C. Penney è uno dei 230 dettaglianti coinvolti.[39]
  • Horizon Blue Cross Blue Shield of New Jersey, gennaio, 300 000 membri[3]
  • Lifeblood, febbraio, 321 000 donatori di sangue[3]
  • Partito Nazionale Britannico, divulgazione della lista di membri[40]
  • All'inizio del 2008, Country Financial (in seguito acquistata da Bank of America), asseritamente cadde vittima di un data breach quando, secondo resoconti giornalistici e documenti processuali, il dipendente Rene L. Rebollo Jr. rubò e vendette fino a 2,5 milioni di informazioni personali di clienti tra cui numeri della sicurezza sociale.[41][42] Secondo l'esposto legale: "A partire dal 2008 — per coincidenza dopo che vendettero i loro portafogli ipotecari in nome di malintesi e fraudolenti 'blocchi di sicurizzazione', e per coincidenza dopo che il loro portafoglio ipotecario era crollato in un enorme dissesto di conseguenza — Countrywide scoprì che le informazioni finanziarie di potenzialmente milioni di clienti erano state rubate da alcuni agenti, dipendenti Countrywide ed altri soggetti."[43] Nel luglio 2010 Bank of America compose più di 30 cause legate a class action offrendo monitoraggio gratuito del credito, assicurazioni contro il furto di identità e rimborsi per le perdite per ben 17 milioni di consumatori coinvolti nell'asserito data breach. La transazione fu stimata in 56,5 milioni di dollari senza contare le spese processuali.[44]
  • Nel dicembre 2009 fu compromesso un database di password di RockYou contenente 32 milioni di nomi utente e password di puro testo, dimostrando ulteriormente la inadeguatezza ad ogni fine dell'uso di password deboli.[45]
  • Nel maggio 2009 The Daily Telegraph rivelò lo scandalo delle spese del Parlamento del Regno Unito.[46] Venne proposto un hard disk contenente ricevute scandite di parlamentari UK a varie testate britanniche a fine aprile, e The Daily Telegraph si convinse di acquistarlo. Si pubblicarono dettagli di pagamenti a partire dall'8 maggio. Benché il Parlamento intendesse diffondere i dati, questo avvenne in una forma censurata, con la cancellazione dei particolari considerati "sensibili" per le personalità interessate. Il quotidiano pubblicò le scansioni "integrali" che mostravano i particolari delle voci, e molte sembravano trasgredire regole e lasciavano intendere un largo uso del generoso sistema di spesa pubblica. Il conseguente scandalo cagionò le dimissioni dello speaker della Camera dei comuni e la messa in stato di accusa e l'arresto di alcuni parlamentari per frode. Alcuni parlamentari si scusarono e fecero restituzioni totali o parziali, mantenendo il seggio. Altri parlamentari furono così screditati da non ripresentarsi alle elezioni del 2010. Benché riguardasse meno di 1500 soggetti, lo scandalo fu tra i più rappresentati dagli organi di informazione.
  • Nel gennaio 2009 Heartland Payment Systems annunciò che era stata "vittima di una falla di sicurezza nel suo sistema di elaborazione", forse nell'ambito di un'"operazione globale di frode informatica".[47] Questa intrusione è stata chiamata la più grande falla di dati di carte [di credito/debito] di ogni tempo, con stime che arrivano a 100 milioni di carte compromesse, appartenenti a più di 650 società di servizi finanziari.[48]
  • Nel corso dell'anno, Chelsea Manning divulgò una gran quantità di segreti militari.
  • Nell'aprile 2011 la Sony subì un data breach nel suo PlayStation Network. Si stima che siano state compromesse le informazioni di 77 milioni di utenti.[49]
  • Nel marzo 2011 RSA SecurID soffrì un data breach dal deposito del suo sistema di token SecurID, in cui furono rubate le "chiavi" del suo sistema di autenticazione a due fattori, permettendo agli attaccanti di replicare i dispositivi token usati per l'accesso sicuro in ambienti aziendali e governativi.[50]
  • Nel giugno 2011 Citigroup rivelò un data breach nelle proprie attività di carte di credito, riguardante circa 211 000 persone ovvero l'1% degli account dei suoi clienti.[51]
  • Nell'estate 2012, il Senior Writer di Wired.com Mat Honan afferma "gli hacker hanno distrutto tutta la mia vita digitale nell'arco di un'ora" carpendo le sue password di Apple, Twitter e Gmail per accedere al controllo del suo Twitter e in tale operazione, afferma che gli hacker abbiano azzerato tutti i suoi dispositivi, cancellandone messaggi e documenti, tra cui tutte le foto scattate alla sua figlia di 18 mesi.[52] L'attacco era stato compiuto con una combinazione di informazioni fornite agli hacker dal supporto tecnologico di Amazon attraverso social engineering, e il sistema di recupero password di Apple che usava tali informazioni.[53] Con riferimento alla sua esperienza, Mat Honan scrisse un articolo che spiegava perché le password non possono tenere al sicuro gli utenti.[54]
  • Nell'ottobre 2012 una forza di polizia contattò il South Carolina Department of Revenue (DoR) (ufficio delle imposte) fornendo prova che erano stati rubati dati personali (Personally Identificabile Information (PII)) di tre soggetti.[55] Fu poi riferito che erano stati compromessi 3,6 milioni di numeri della sicurezza sociale assieme a 387 000 record di carte di credito.[56]
  • Nell'ottobre 2013 Adobe Systems rivelò che il loro database aziendale era stato compromesso il suo database aziendale ed erano stati rubati qualcosa come 130 milioni di record di utenti. Secondo Adobe, "Per più di un anno il sistema di autenticazione di Adobe ha crittografato le password dei clienti usando l'algoritmo SHA-256, compreso il salting delle password e l'iterazione dell'hash più di mille volte. Questo sistema non era l'obiettivo dell'attacco che noi abbiamo annunciato pubblicamente il 3 ottobre 2013. Il sistema di autenticazione coinvolto nell'attacco era un sistema di backup e ne era prevista la dismissione. Il sistema coinvolto nell'attacco usava la cifratura Triple DES per proteggere tutte le informazioni sulle password immagazzinate."[57]
  • Tra fine novembre e inizio dicembre 2013 Target Corporation annunciò che erano stati rubati 70 milioni di carte di credito e debito. È la seconda fuga di dati su carte di pagamento dopo il data breach di TJX Companies, che aveva riguardato 46 milioni di carte.[58]
  • Nel 2013 Edward Snowden pubblicò una serie di documenti segreti che rivelavano un'ampia attività di spionaggio svolta dalla National Security Agency USA e da organizzazioni simili in altri Paesi.
  • Nel 2013 Yahoo! rivela che gli sono stati rubati 500 milioni di account, nel 2016 il CISO del gruppo, Bob Lord, durante la trattativa di vendita della società a Verizon ammette che la fuga di dati avrebbe riguardato più di un miliardo di utenti, nel 2017 durante la fusione con AOL Yahoo! confessa che le cifre rivelate precedentemente non erano veritiere e che il data breach del 2013 aveva coinvolto tutti gli utenti iscritti.
  • Nell'agosto 2014 furono rubate quasi 200 foto di celebrità da account di Apple iCloud, poi pubblicate sul sito di condivisione immagini 4chan. Un'inchiesta di Apple ha scoperto che le immagini erano state ottenute "da un attacco molto preciso su nomi utenti, password e domande di sicurezza".[59] Nondimeno, dopo il celebrity breach, Apple rinforzò la sicurezza di iCloud attraverso un'autenticazione a due fattori facoltativa.[60]
  • Nel settembre 2014 Home Depot fu esposta ad un data breach di 56 milioni di numeri di carte di credito.[61]
  • Nell'ottobre 2014 Staples subì un data breach di 1,16 milioni di carte di pagamento di clienti.[62]
  • Nel novembre 2014, e per alcune settimane,[63] Sony Pictures Entertainment subì un data breach riguardante informazioni personali su dipendenti Sony Pictures e loro familiari, e-mail tra dipendenti, informazioni su retribuzioni di dirigenti della società, copie di film Sony (al tempo) inediti, ed altre informazioni. Gli hacker responsabili dell'atto dichiarano di aver sottratto alla Sony 100 terabyte di dati.[64]
  • Nell'ottobre 2015 l'operatore di telecomunicazioni britannico TalkTalk subì un data breach per mano di un gruppo di hacker quindicenni che rubarono informazioni sui suoi 4 milioni di clienti. La quotazione in borsa della società cadde parecchio a causa di questo inconveniente — circa il 12% — soprattutto per la pubblicità sfavorevole conseguente alla falla.[65]
  • Nel luglio 2015 il sito per incontri extraconiugali[66] Ashley Madison subì un data breach per l'attacco di un gruppo hacker che rubò le informazioni di 37 milioni di utenti. Gli hacker minacciarono di rivelare nomi utenti e dettagli se Ashley Madison e un sito analogo, EstabilihedMen.com, non avessero cessato l'attività permanentemente.[67]
  • Nel febbraio 2015 Anthem subì un data breach di circa 8o milioni di record, comprendenti dati personali come nomi, muori della sicurezza sociale, date di nascita, ed altri particolari sensibili.[68]
  • Nel giugno 2015 lo United States Office of Personnel Management del governo USA subì un data breach in cui furono sottratti i dati di 22,1 milioni di dipendenti ed ex dipendenti degli Stati Uniti.[69]
  • Nel febbraio 2016 l'hacker quindicenne britannico Kane Gamble divulgò informazioni personali di oltre 26 000 dipendenti FBI,[70] tra cui nomi, numeri di sicurezza sociale, numeri di telefono e indirizzi mail dei dipendenti.[71] Il giudice disse che Gamble era incorso in "cyber-terrorismo a sfondo politico".[72]
  • Nel marzo 2016 il sito della Commissione elettorale delle Filippine subì un defacing per opera del gruppo hacktivista Anonymous Filippine.[73] Il giorno dopo sorse un problema più grande quando un gruppo chiamato LulzSec caricò su Facebook l'intero database della Commissione elettorale.[74]
  • Nell'aprile 2016 gli organi di informazione divulgarono notizie derivanti da un riuscito attacco hacker presso lo studio legale centro-americano Mossack Fonseca, e i conseguenti Panama Papers hanno avuto ripercussioni in tutto il mondo.[75] Benché non sia ancora accertato se vi siano state attività illegali o non etiche, questo esemplifica senz'altro l'effetto della rivelazione di segreti. Il primo ministro islandese fu costretto a dimettersi[76] e ci furono rimescolamenti politici in Paesi assai distanti, come Malta.[77] Furono subito avviate numerose indagini in Paesi di tutto il mondo, tra cui una severa inchiesta negli USA sulle regole dell'attività bancaria internazionale[78] o attraverso paradisi fiscali.[79] Ovviamente le implicazioni sono enormi per la capacità di un'organizzazione — si tratti di uno studio legale o di una branca dell'amministrazione — di mantenere i segreti.[80]
  • Nel settembre 2016 Yahoo comunicò che nel 2014 erano stati compromessi fino a 500 milioni di account in quello che appariva un data breach "sponsorizzato da uno Stato".[81] Nell'ottobre 2017 fu rivelato che gli account violati erano stati 3 miliardi, un numero pari a quello degli account di Yahoo esistenti all'epoca.[82]
  • Vault 7, tecnica di hacking CIA rivelata in un data breach.[83] I documenti divulgati, con nome in codice Vault 7 e datati dal 2013 al 2016, descrivono la potenzialità della CIA nell'eseguire sorveglianza elettronica e guerra cyber,[84] come la capacità di compromettere i sistemi operativi della maggior parte degli smartphone (tra cui iOS di Apple e Android di Google), ed anche altri sistemi operativi come Microsoft Windows, macOS e Linux.[85] Joshua Adam Schulte, ex dipendente CIA, è stato accusato di aver divulgato segreti hacking CIA a WikiLeaks.[86]
  • Equifax, una delle tre società gestisce il credit rating negli Usa, il 29 luglio 2017 subisce il più grande data breach della storia all'epoca 145 500 000 record di consumatori, ma ne dà notizia solo il 7 settembre[87] che portò alle condizioni della più grande class action della storia.[88] I comuni di Chicago e San Francisco e lo Stato del Massachusetts hanno iniziato cause contro Equifax dopo il data breach del luglio 2017, in cui asseritamente avrebbero sfruttato una vulnerabilità nel software open source usato per creare il portale Equifax per l'arbitrato online dei consumatori.[89] Gli hacker ebbero non solo informazioni su residenti USA, ma anche su cittadini di Regno Unito e Canada.[90]
  • Documenti militari riservati Stati Uniti-Corea del Sud, ottobre 2017. Un parlamentare sud coreano affermò che hacker nord coreani avessero rubato 235 gigabyte di documenti militari del Defense Integrated Data Center nel settembre 2016. I documenti divulgati comprendevano piani operativi di guerra Corea del Sud - Stati Uniti.[91]
  • Paradise Papers, novembre 2017.
  • Scandalo Facebook-Cambridge Analytica in marzo.[92]
  • In marzo Google identificò una vulnerabilità che rendeva accessibili le informazioni personali di quasi mezzo milione di utenti. Avendo posto rimedio alla vulnerabilità, non rivelò agli utenti la compromissione sino a che — sei mesi più tardi — il problema fu raccontato da The Wall Street Journal.[93]
  • Il 1 agosto Reddit rivelò di esser vittima di hackeraggio. L'attaccante era riuscito a compromettere account di dipendenti sebbene usassero autenticazione a due fattori mediante SMS. Reddit non volle precisare il numero di utenti colpiti.[94]
  • Il 29 marzo Under Armour rivelò un data breach di 150 milioni presso MyFitnessPal, con dati compromessi consistenti di nomi utenti, indirizzi e-mail e password schermate da hash. Under Armour fu informata della fuga di dati la settimana tra il 19 e il 25 marzo, e il fatto era avvenuto in qualche giorno di febbraio.[95]
  • Il 1 aprile fu riferito che era avvenuto un data breach in danno di Saks Fifth Avenue / Lord & Taylor. I dati di 5 milioni di titolari di carte di credito possono essere stati compromessi in negozi del Nordamerica.[96]
  • Il 20 luglio fu riferito che era avvenuto un data breach presso SingHealth, una delle più grandi organizzazioni sanitarie di Singapore, con la compromissione di 1,5 milioni di dati personali (tra cui quelli di alcuni ministri, come lo stesso primo ministro Lee Hsien Loong). I ministri in una conferenza stampa definirono il data breach come "la più seria fuga di dati personali".[97][98]
  • Il 7 settembre fu annunciato un data breach che aveva colpito British Airways con il furto di 380 000 record di clienti, comprensivi di estremi bancari completi.[99][100]
  • Il 19 ottobre i Centers for Medicare & Medicai Services USA (CMS) denunciarono un data breach che aveva compromesso file di 75 000 soggetti.[101]
  • Il 3 dicembre Quora annunciò un data breach che coinvolgeva i dati di 100 milioni di utenti.[102]
  • In maggio i dati personali di circa 139 milioni di utenti del servizio di graphic design Canva furono esposti, e tra essi nomi reali, indirizzi e informazioni geografiche degli utenti, e hash delle password.[103][104]
  • Il 16 luglio l'agenzia delle entrate bulgara, un ramo del ministero delle finanze dei quel Paese.[105]
  • In settembre furono violati i dati dell'intera popolazione (17 milioni, assieme ai deceduti) dell'Ecuador dopo che la ditta di analisi di marketing Novestrat aveva trattato su server non sicuri (e di fatto divulgato) nomi completi, titoli di studio, numeri di telefono e numeri di identità nazionale.[106]
  • Il 7 luglio il sito di scrittura Wattpad subì un grave data breach per opera di ShinyHunters, con oltre 270 milioni di utenti coinvolti; i dati degli utenti furono venduti su un forum nel darknet, hash delle password compresi.[107]
  • A metà dicembre 2020 fu riferito che numerose entità governative federali USA e molte organizzazioni private di tutto il mondo che usavano prodotti SolarWinds, Microsoft e VMWare erano state vittima di vasto hackeraggio con fuga di dati.[108]
  • Il 18 settembre 2022 trapelano in rete 90 video riguardanti il prossimo titolo della serie Grand Theft Auto di Rockstar Games. L'azienda statunitense ne conferma la veridicità con un tweet[110].
  1. ^ United States Department of Health and Human Services, Administration for Children and Families. Information Memorandum. Retrieved 2015-09-01.
  2. ^ Panama Papers Leak: The New Normal?, su xconomy.com, Xconomy, 26 aprile 2016. URL consultato il 20 agosto 2016.
  3. ^ a b c d e f g h i j k "Chronology of Data Breaches", Privacy Rights Clearinghouse
  4. ^ Information technology — Security techniques — Storage security, su iso.org. URL consultato il 24 ottobre 2020.
  5. ^ The NHS Must Prioritise Quality To Prevent Further Data Breaches
  6. ^ Abraham Wickelgren, Damages for Breach of Contract: Should the Government Get Special Treatment?, in Journal of Law, Economics & Organization, vol. 17, 2001, pp. 121–148, DOI:10.1093/jleo/17.1.121.
  7. ^ Risk of Insider Fraud: Second Annual Study Archiviato il 21 febbraio 2020 in Internet Archive.. Ponemon.org (2013-02-28). Consultato il 2014-06-10.
  8. ^ Verizon Data Breach Investigations Report | Verizon Enterprise Solutions. VerizonEnterprise.com. Consultato il 2014-06-10.
  9. ^ Welcome to IAITAM Archiviato il 16 febbraio 2015 in Internet Archive.. Iaitam.org. Consultato il 2014-06-10.
  10. ^ The IT Checklist to Prevent Data Breach, su IT Solutions & Services Philippines - Aim.ph. URL consultato il 6 maggio 2016 (archiviato dall'url originale il 16 giugno 2016).
  11. ^ John Chambers' 10 most memorable quotes as Cisco CEO, in Network World. URL consultato il 10 novembre 2016 (archiviato dall'url originale il 21 gennaio 2019).
  12. ^ FBI on Bloomberg TV, su blog.norsecorp.com (archiviato dall'url originale il 20 aprile 2015).
  13. ^ Charles Ornstein, Hospital to punish snooping on Spears, in Los Angeles Times, 15 marzo 2008. URL consultato il 26 luglio 2013.
  14. ^ Patrick Kierkegaard, Medical data breaches: Notification delayed is notification denied, in Computer Law, vol. 28, n. 2, 2012, pp. 163–183, DOI:10.1016/j.clsr.2012.01.003.
  15. ^ Thomas H. McCoy e Roy H. Perlis, Temporal Trends and Characteristics of Reportable Health Data Breaches, 2010-2017, in JAMA, vol. 320, n. 12, 25 settembre 2018, pp. 1282–1284, DOI:10.1001/jama.2018.9222, ISSN 1538-3598 (WC · ACNP), PMC 6233611, PMID 30264106.
  16. ^ 2010 Annual Study: German Cost of a Data Breach (PDF), su symantec.com, Ponemon Institute, febbraio 2011. URL consultato il 12 ottobre 2011 (archiviato dall'url originale il 24 settembre 2015).
  17. ^ Elizabeth A. Harris, Data Breach Hurts Profit at Target, in The New York Times, 27 febbraio 2014. URL consultato l'11 maggio 2016.
  18. ^ Nathan Manworren, Joshua Letwat e Olivia Daily, 3, in Why you should care about the Target data breach, Business Horizons, vol. 59, maggio 2016, pp. 257–266, DOI:10.1016/j.bushor.2016.01.002, ISSN 0007-6813 (WC · ACNP).
  19. ^ Verizon completes its $4.48 billion acquisition of Yahoo; Marissa Mayer leaves with $23 million (cnbc.com)
  20. ^ Hydrocarbon Processing, 29 settembre 2016.
  21. ^ Data breaches cost healthcare industry $6.2B, su Becker's ASC Review, 12 maggio 2016.
  22. ^ Marta Meisner, 3, in Financial Consequences of Cyber Attacks Leading to Data Breaches in Healthcare Sector, Copernican Journal of Finance & Accounting, vol. 6, 24 marzo 2018, pp. 63, DOI:10.12775/CJFA.2017.017, ISSN 2300-3065 (WC · ACNP).
  23. ^ (EN) Hicham Hammouchi, Othmane Cherqi, Ghita Mezzour, Mounir Ghogho e Mohammed El Koutbi, Digging Deeper into Data Breaches: An Exploratory Data Analysis of Hacking Breaches Over Time, in Procedia Computer Science, vol. 151, 1º gennaio 2019, pp. 1004–1009, DOI:10.1016/j.procs.2019.04.141, ISSN 1877-0509 (WC · ACNP).
  24. ^ Karthik Kannan, Jackie Rees e Sanjay Sridhar, 1, in Market Reactions to Information Security Breach Announcements: An Empirical Analysis, International Journal of Electronic Commerce, vol. 12, settembre 2007, pp. 69–91, DOI:10.2753/jec1086-4415120103, ISSN 1086-4415 (WC · ACNP).
  25. ^ Huseyin Cavusoglu, Birendra Mishra e Srinivasan Raghunathan, 1, in The Effect of Internet Security Breach Announcements on Market Value: Capital Market Reactions for Breached Firms and Internet Security Developers, International Journal of Electronic Commerce, vol. 9, 2004, pp. 69–104, DOI:10.1080/10864415.2004.11044320, JSTOR 27751132.
  26. ^ Katherine Campbell, Lawrence A. Gordon, Martin P. Loeb e Lei Zhou, 3, in The economic cost of publicly announced information security breaches: empirical evidence from the stock market*, Journal of Computer Security, vol. 11, 1º luglio 2003, pp. 431–448, DOI:10.3233/JCS-2003-11308, ISSN 1875-8924 (WC · ACNP).
  27. ^ Daniel Schatz e Rabih Bashroush, 1 (PDF), in The impact of repeated data breach events on organisations' market value, Information and Computer Security, vol. 24, 14 marzo 2016, pp. 73–92, DOI:10.1108/ics-03-2014-0020, ISSN 2056-4961 (WC · ACNP).
  28. ^ Long Cheng, Fang Liu e Dangfei Yao, 5, in Enterprise data breach: causes, challenges, prevention, and future direction, WIREs Data Min. Knowl. Discov., vol. 7, 2017, pp. e1211, DOI:10.1002/widm.1211.
  29. ^ a b Ryle PM, Goodman L, Soled JA. Tax consequences of data breaches and identity theft. Journal of Accountancy. October 2020:1-6.
  30. ^ "ChoicePoint to pay $15 million over data breach", NBC News
  31. ^ data Valdez Doubletongued dictionary
  32. ^ AOL's Massive Data Leak Archiviato il 13 ottobre 2008 in Internet Archive., Electronic Frontier Foundation
  33. ^ data Valdez, Net Lingo
  34. ^ "Active-duty troop information part of stolen VA data Archiviato il 1º aprile 2010 in Internet Archive.", Network World, June 6, 2006
  35. ^ Jeff Manning, D.A. Davidson fined over computer security after data breach, in The Oregonian, 13 aprile 2010. URL consultato il 26 luglio 2013.
  36. ^ Connecticut Says Data on Its Money Was Stolen (nytimes.com)
  37. ^ T.J. Maxx data theft worse than first reported, in NBC News, 29 marzo 2007. URL consultato il 16 febbraio 2009.
  38. ^ Collegamenti esterni in punto:
  39. ^ GE Money Backup Tape With 650,000 Records Missing At Iron Mountain, in InformationWeek. URL consultato l'11 maggio 2016 (archiviato dall'url originale il 26 gennaio 2013).
  40. ^ UK - BNP activists' details published, BBC, 18 novembre 2008. URL consultato l'11 maggio 2016.
  41. ^ E. Scott Reckard, Bank of America settles Countrywide data theft suits, in Los Angeles Times, 24 agosto 2010.
  42. ^ "Countrywide Sued For Data Breach, Class Action Suit Seeks $20 Million in Damages", Bank Info Security, April 9, 2010
  43. ^ "Countrywide Sold Private Info, Class Claims", Courthouse News, April 5, 2010
  44. ^ "The Convergence of Data, Identity, and Regulatory Risks", Making Business a Little Less Risky Blog
  45. ^ Vijay Kumar, Rockyou wordlist Kali Location and Uses, Complete Tutorial for beginners, su CyberPratibha, 11 maggio 2020. URL consultato il 12 gennaio 2021.
  46. ^ MP expenses leak 'not for money', in BBC News, 24 giugno 2009. URL consultato l'8 maggio 2010.
  47. ^ Heartland Payment Systems Uncovers Malicious Software In Its Processing System Archiviato il 27 gennaio 2009 in Internet Archive.
  48. ^ Lessons from the Data Breach at Heartland, MSNBC, 7 luglio 2009
  49. ^ PlayStation Network and Qriocity Outage FAQ – PlayStation.Blog.Europe, su blog.eu.playstation.com. URL consultato il 29 aprile 2011.
  50. ^ Open Letter to RSA Customers, su sec.gov. Originally online at RSA site.
  51. ^ Andy Greenberg, Citibank Reveals One Percent Of Credit Card Accounts Exposed In Hacker Intrusion, in Forbes, 9 giugno 2011. URL consultato il 5 settembre 2014.
  52. ^ Mat Honan, Kill the Password: Why a String of Characters Can't Protect Us Anymore, in Wired, 15 novembre 2012. URL consultato il 17 gennaio 2013.
  53. ^ Mat Honan, How Apple and Amazon Security Flaws Led to My Epic Hacking, in Wired, 6 agosto 2012. URL consultato il 26 gennaio 2013.
  54. ^ Protecting the Individual from Data Breach, in The National Law Review, Raymond Law Group, 14 gennaio 2014. URL consultato il 17 gennaio 2013.
  55. ^ Public Incident Response Report (PDF), su governor.sc.gov, State of South Carolina, 12 novembre 2012. URL consultato il 10 ottobre 2014 (archiviato dall'url originale il 23 agosto 2014).
  56. ^ South Carolina: The mother of all data breaches, in The Post and Courier, 3 novembre 2012. URL consultato il 10 ottobre 2014 (archiviato dall'url originale l'8 settembre 2016).
  57. ^ Goodin, Dan. (2013-11-01) How an epic blunder by Adobe could strengthen hand of password crackers. Ars Technica. Consultato il 2014-06-10.
  58. ^ Target Confirms Unauthorized Access to Payment Card Data in U.S. Stores, Target Corporation, 19 dicembre 2013. URL consultato il 19 gennaio 2016 (archiviato dall'url originale il 24 novembre 2021).
  59. ^ Apple Media Advisory: Update to Celebrity Photo Investigation, in Business Wire, StreetInsider.com, 2 settembre 2014. URL consultato il 5 settembre 2014.
  60. ^ Apple toughens iCloud security after celebrity breach (bbc.com/news)
  61. ^ Melvin Backman, Home Depot: 56 million cards exposed in breach, CNNMoney, 18 settembre 2014.
  62. ^ Staples: Breach may have affected 1.16 million customers' cards, in Fortune, 19 dicembre 2014. URL consultato il 21 dicembre 2014.
  63. ^ Sony Pictures Entertainment Notice Letter (PDF), su oag.ca.gov, State of California Department of Justice Office of the Attorney General, 8 dicembre 2014. URL consultato il 20 dicembre 2014.
  64. ^ James Cook, Sony Hackers Have Over 100 Terabytes Of Documents. Only Released 200 Gigabytes So Far, in Business Insider, 16 dicembre 2014. URL consultato il 18 dicembre 2014.
  65. ^ TalkTalk Hacked…Again, su blog.check-and-secure.com, Check&Secure, 23 ottobre 2015. URL consultato il 23 ottobre 2015 (archiviato dall'url originale il 23 dicembre 2015).
  66. ^ Ashley Madison, o The Ashley Madison Agency, è un servizio canadese di incontri online e un servizio di social networking indirizzato a persone che sono sposate o hanno stabili relazioni sentimentali.
  67. ^ Online Cheating Site AshleyMadison Hacker, su krebsonsecurity.com, 15 luglio 2015. URL consultato il 20 luglio 2015.
  68. ^ Data breach at health insurer Anthem could impact millions, 15 febbraio 2015.
  69. ^ "Hacks of OPM databases compromised 22.1 million people, federal authorities say". The Washington Post. July 9, 2015.
  70. ^ "British teenager who 'cyber-terrorised' US intelligence officials gets two years detention Archiviato il 22 aprile 2018 in Internet Archive.". The Independent. April 21, 2018.
  71. ^ "Hackers publish contact info of 20,000 FBI employees Archiviato il 22 aprile 2018 in Internet Archive.". CNN. February 8, 2016.
  72. ^ UK teen Kane Gamble gets two years for hacking CIA ex-chief John Brennan Archiviato il 22 aprile 2018 in Internet Archive.". Deutsche Welle. April 20, 2018.
  73. ^ Massive data breach exposes all Philippines voters, Telecom Asia, 12 aprile 2016. URL consultato il 21 aprile 2016.
  74. ^ 5 IT Security Lessons from the Comelec Data Breach, su IT Solutions & Services Philippines - Aim.ph. URL consultato il 6 maggio 2016.
  75. ^ The massive Panama Papers data leak explained Archiviato il 22 novembre 2018 in Internet Archive.. Computerworld. April 5, 2016.
  76. ^ Kimiko De Freytas-tamura, Iceland's Prime Minister Resigns, After Pirate Party Makes Strong Gains, in The New York Times, 30 ottobre 2016, ISSN 0362-4331 (WC · ACNP). URL consultato il 10 novembre 2016.
  77. ^ Watch: Will Panama scandal go away after the reshuffle?, in Times of Malta. URL consultato il 10 novembre 2016.
  78. ^ EU Must Bear Down on Money Laundering, Regulators Say - Law360, su law360.com.
  79. ^ U.S. Readies Bank Rule on Shell Companies Amid 'Panama Papers' Fury, in NBC News. URL consultato il 10 novembre 2016.
  80. ^ Can secrets stay secret anymore?, in CIO Dive. URL consultato il 10 novembre 2016.
  81. ^ Nicole Perlroth, Yahoo Says Hackers Stole Data on 500 Million Users in 2014, in The New York Times, September 22, 2016. URL consultato il September 22, 2016.
  82. ^ Robert McMillan e Ryan Knutson, Yahoo Triples Estimate of Breached Accounts to 3, in The Wall Street Journal, October 3, 2017. URL consultato il October 3, 2017.
  83. ^ Scott Shane, Mark Mazzetti e Matthew Rosenberg, WikiLeaks Releases Trove of Alleged C.I.A. Hacking Documents, in The New York Times, 7 marzo 2017.
  84. ^ Andy Greenberg, How the CIA Can Hack Your Phone, PC, and TV (Says WikiLeaks), in WIRED, 7 marzo 2017.
  85. ^ Vault 7: Wikileaks reveals details of CIA's hacks of Android, iPhone Windows, Linux, MacOS, and even Samsung TVs, su Computing, 7 marzo 2017.
  86. ^ Who Is Joshua Adam Schulte? Former CIA Employee Charged Over Vault 7 Leak, in Newsweek, 19 giugno 2018.
  87. ^ Mathews, Lee, "Equifax Data Breach Impacts 143 Million Americans", Forbes, September 7, 2017.
  88. ^ Mills, Chris, "Equifax is already facing the largest class-action lawsuit in US history", BGR, September 8, 2017.
  89. ^ Sarah T. Reise, State and Local Governments Move Swiftly to Sue Equifax, in The National Law Review, 3 October 2017. URL consultato il 7 October 2017.
  90. ^ Edward DeMarco, Washington Wrap Up, ProQuest LLC 2043172601.
  91. ^ North Korea hackers stole South Korea-U.S. military plans to wipe out North Korea leadership: lawmaker, Reuters, Christine Kim, October 10, 2017
  92. ^ Emma Graham-Harrison e Carole Cadwalladr, Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach, in The Guardian, 17 marzo 2018 (archiviato il 18 marzo 2018).
  93. ^ Julia Carrie Wong e Olivia Solon, Google to shut down Google after failing to disclose user data breach, su the Guardian, 9 ottobre 2018. URL consultato il 10 ottobre 2018.
  94. ^ Everything you need to know about the Reddit data breach, su siliconrepublic.com, 2 agosto 2018. URL consultato il 5 dicembre 2018.
  95. ^ MyFitness Pal Data Breach March 15, 2018 - Hacked, su javarosa.org. URL consultato il 3 aprile 2018 (archiviato dall'url originale il 31 marzo 2018).
  96. ^ Saks, Lord & Taylor breach: Data stolen on 5 million cards, su money.cnn.com, CNNMoney, aprile 2018. URL consultato il 3 aprile 2018.
  97. ^ Singapore health system hit by 'most serious breach of personal data' in cyberattack; PM Lee's data targeted, su channelnewsasia.com. URL consultato il 24 agosto 2021 (archiviato dall'url originale il 26 luglio 2018).
  98. ^ Personal info of 1.5m SingHealth patients, including PM Lee, stolen in Singapore's worst cyber attack, su straitstimes.com, 20 luglio 2018.
  99. ^ Customer Data Theft, su British Airways. URL consultato il 20 ottobre 2018.
  100. ^ Paul Sandle, BA apologizes after 380,000 customers hit in cyber attack, in Reuters, 6 settembre 2018. URL consultato il 20 ottobre 2018.
  101. ^ US CMS says 75,000 individuals' files accessed in data breach, su Deccan Chronicle, 20 ottobre 2018. URL consultato il 20 ottobre 2018.
  102. ^ Passwords from 100 million Quora users stolen in data breach, 4 dicembre 2018. URL consultato il 27 gennaio 2019.
  103. ^ Australian tech unicorn Canva suffers security breach, su ZDNet. URL consultato il 7 dicembre 2019.
  104. ^ 139 Million Users Hit in Canva Data Breach, su Tom's Guide. URL consultato il 7 dicembre 2019.
  105. ^ Template:Cit news
  106. ^ Database leaks data on most of Ecuador's citizens, including 6.7 million children, su ZDNet, 16 settembre 2019. URL consultato il 16 settembre 2019.
  107. ^ Wattpad data breach exposes account info for millions of users, su bleepingcomputer.com.
  108. ^ David E. Sanger, Nicole Perlroth e Eric Schmitt, Scope of Russian Hacking Becomes Clear: Multiple U.S. Agencies Were Hit, in The New York Times, 15 dicembre 2020.
  109. ^ Microsoft hack: 3,000 UK email servers remain unsecured, in BBC News, 12 marzo 2021. URL consultato il 12 marzo 2021.
  110. ^ https://twitter.com/rockstargames/status/1571849091860029455, su Twitter. URL consultato il 22 settembre 2022.

Voci correlate

[modifica | modifica wikitesto]

Una violazione di dati personali è la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati.

  • GDPR (General Data Protection Regulation)

Il Regolamento Generale sulla Protezione dei Dati (2016/679), entrato in vigore il 25 maggio 2018, è applicabile direttamente a livello nazionale e mira ad armonizzare le normative in materia di protezione dati all'interno dell'Unione Europea. Il GDPR si applica ai Titolari e ai Responsabili del trattamento situati all'interno dell'Unione Europea, o che offrono beni o servizi all'UE o che monitorano il comportamento di persone fisiche in tale territorio.

Il Titolare del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali.

Il Responsabile del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta i dati personali per conto del Titolare del trattamento.

  • DPO (Data Protection Officer)

Il Responsabile della protezione dei dati monitora le conformità dell'organizzazione per la quale lavora dando consigli e linee guida relative agli obblighi di protezione dei dati e svolgendo il ruolo di punto di contatto tra gli interessati e l'autorità di controllo competente.

L'autorità pubblica indipendente istituita da uno stato membro ai sensi dell'articolo 51 del GDPR: "Ogni stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l'applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all'interno dell'Unione Europea.". In Italia tale autorità è stata conferita al garante per la protezione dei dati.

Collegamenti esterni

[modifica | modifica wikitesto]
  Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di sicurezza informatica