Un caso di data breach disclosure “voluntario”

By | 25 novembre 2015

Il Data breach colpisce la catena alberghiera Hilton Worldwide

Il giornalista di Cybersecurity Brian Krebs, citando diverse fonti di istituti bancari, riporta sul suo blog Venerdì 25 Settembre 2015 che è stato scoperto un pattern di frode per le carte di credito utilizzato dai POS (point-of-sale) di negozi e ristoranti di “numerosi Hotel Hilton e collegate in franchising.”

In una dichiarazione NBC News, rilasciata nel pomeriggio del 25 Settembre 2015, un portavoce di Hilton Worldwide afferma che il gruppo ne è al corrente.

“Hilton Worldwide è fortemente impegnata nella protezione delle informazioni relative alle carte di credito dei suoi clienti. Abbiamo molti sistemi attivi e lavoriamo con alcuni trai i maggiori esperti del campo per affrontare la data security. Sfortunatamente le possibilità di attività fraudolente, inerenti le carte di credito, è fin troppo comune per ogni azienda nel mercato attuale “, dice la nota. “Prendiamo qualsiasi potenziale problema molto seriamente, e stiamo esaminando la questione.”

Ieri, 24 Novembre 2015, Hilton Hotels and Resorts riporta sul suo sito che alcuni dei suoi POS sono stati compromessi, alcuni potenzialmente fin dal novembre 2014.

“Abbiamo stabilito che le informazioni della carta di credito potrebbe includere i nomi dei titolari, i numeri delle carte, i codici di sicurezza e le date di scadenza, ma non gli indirizzi o i numeri di identificazione personale (PIN)”.

Tuttavia, i dati esposti potrebbero consentire agli aggressori di creare carte false e fare acquisti on-line, per telefono o per corrispondenza!

Come misura precauzionale, il gruppo alberghiero ha consigliato ai clienti di verificare e monitorare i movimenti delle proprie carte di credito, qualora abbiano utilizzato una carta di credito in un hotel Hilton Worldwide tra il 18 novembre e il 5 dicembre 2014, e tra il 21 aprile e il 27 Luglio 2015.

 

Se confronto questo caso con il nuovo regolamento europeo sulla Privacy, in merito al data breach disclosure, penso ad alcuni punti deboli:

– Sono passate ben più di 72 ore tra la scoperta della violazione dei dati e l’informativa ai clienti

– La violazione dei dati è durata più di un anno ed è stata scoperta da terzi; quindi le misure in vigore non erano adeguate

– La comunicazione non indica le misure implementate preventivamente né quelle adottate per ridurre il danno

… e forse ci sono altri punti deboli, ma questi sono sufficienti!

Category: Open Forum Tag:,

About Francesca Gatti

At the end of a working life dedicated to the Information Systems in multinational companies, I have found the shares of a start up of medical industry, specializied in technologically advanced devices for the prosthetic. Here I set the Quality Management System and obtained certification ISO9001 and ISO13485 and completed an important Call of the Lombardy Region and the Ministry of Education on a project of technological medical innovation. At the same time I continue to advise on projects of Quality, Security and Governance of Information Systems. CISA since 2006 and CIGIT 2008, I’m member of the AUSED Executive Council and coordinator of the Security and Compliance Observatory.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.