WindTre, il Garante sanziona due data breach: esposti i dati di 365mila clienti
Il Garante Privacy ha sanzionato WindTre per oltre un milione e 700mila euro a causa di due violazioni di dati avvenute a pochi giorni di distanza presso due punti vendita dell’operatore. Il caso riguarda degli accessi a una web application usata dalla rete commerciale, ottenuti attraverso tecniche di ingegneria sociale.
Secondo il provvedimento che risale a maggio (ma è stato reso pubblico dal Garante solamente adesso), gli attaccanti hanno contattato telefonicamente gli addetti dei negozi fingendo di aver bisogno di assistenza tecnica, riuscendo così a ottenere l’accesso remoto ai dispositivi. Nel primo episodio sono state effettuate 66 ricerche nel database e sono stati esposti i dati di 23 clienti. Il secondo episodio è stato decisamente più grave: sono state eseguite circa 2 milioni di ricerche aumentando progressivamente l’identificativo cliente, con esposizione dei dati di oltre 365mila persone. Le informazioni ottenute dagli attaccanti riguardavano dati anagrafici e di contatto. Di oltre 41mila persone venivano esposti anche dati relativi al metodo di pagamento, tra bollettino postale, IBAN o carta di credito con numeri parzialmente oscurati e data di scadenza della stessa.
Il Garante ha contestato a WindTre carenze nella gestione dei certificati digitali, delle credenziali e dei controlli sulle API. In particolare, secondo l’Autorità, certificati e chiavi private avrebbero dovuto essere protetti con soluzioni più sicure. Anche le API più esposte avrebbero dovuto essere protette meglio, con rate limiting, controlli anti-bot e test mirati. WindTre ha sostenuto di avere già delle misure di sicurezza, tra cui autenticazione a tre fattori, captcha, firewall, tracciamento delle attività, blocco degli accessi notturni e monitoraggio delle consultazioni. Dopo gli attacchi l’operatore ha revocato i certificati dei punti vendita coinvolti, inviato alert alla rete vendita, abbassato le soglie captcha, introdotto rate limiting sulle API a rischio, resettato le password e avviato attività di formazione e controlli per fronteggiare le tecniche di ingegneria sociale.
CLICCA QUI PER CONTINUARE A LEGGERE
Qual è la tua reazione?
Mi piace
0
Antipatico
0
Lo amo
0
Comico
0
Wow
0
Triste
0
Furioso
0
Commenti (0)