Data Breach: un nuovo caso negli USA

Continuano senza sosta le perdite di dati sensibili da parte di aziende ed enti pubblici che periodicamente, per i motivi più disparati, subiscono attacchi o commettono leggerezze che costano poi la privacy di un grande numero di loro utenti. Questa volta è toccato alla CFPB (Consumer Financial Protection Bureau), ovvero l’ufficio statunitense per la protezione finanziaria dei consumatori, che lavora direttamente per il governo degli USA. Nei giorni scorsi è stato dichiarato che a causa di un errore di un dipendente potrebbero essere stati diffusi i dati di ben 256mila utenti.

Il tutto pare essere cominciato a febbraio, quando è stato scoperto che un dipendente aveva erroneamente inviato una mail contenente tutti i dati sensibili poi resi pubblici che potrebbero riguardare peraltro più di 50 istituti finanziari. Chiaramente la persona implicata è stata licenziata e colui che ha ricevuto la mail dovrà provvedere a cancellarla inviando anche una prova di tale eliminazione. cosa che non sembra essere stata ancora fatta. I dati diffusi comprenderebbero quelli personali, chiamati PII, come ad esempio indirizzi e numeri di telefono ma anche i nomi ed i cognomi, ovvero tutti quei dati che possono ricondurre inequivocabilmente alle singole persone.

Questo caso ha suscitato all’interno dell’agenzia delle grosse riflessioni a causa della condotta abbastanza maldestra del suo dipendente, poiché seppure si sia constatato che non c’era alcun intento criminale nell’invio sconsiderato di questi dati tale pratica è da considerarsi totalmente fuori da ogni logica. Innanzitutto perché i dati vanno maneggiati con la massima cura vista anche la loro natura e poi perché con questo invio si sono messi potenzialmente a repentaglio almeno sette istituti finanziari sui cinquanta che potevano essere coinvolti. Nel mentre CFPB sta continuando le sue analisi sui rischi attuali dei consumatori.

Sicuramente il rischio che la casella che ha ricevuto i dati era già violata essi potrebbero essere finiti in cattive mani e questo rimette in gioco tutte le attività di formazione alla cybersecurity ai dipendenti che, a detta degli stessi manager di CFPB, sembra essere fallita e che bisognerà ricominciare da capo il tutto. Quello della formazione è di fatto uno dei punti cardine della cybersecurity perché, come ripetiamo da tempo, anche servendosi di sistemi di altissimo livello in casi come questi si dovrebbe soltanto fare affidamento alle buone pratiche seguite dai dipendenti della propria azienda.

 

Fonte: 1