Negli ultimi giorni molti clienti di grandi brand USA hanno ricevuto messaggi email sgraditi con l’avviso che il proprio indirizzo di posta elettronica era fra quelli coinvolti in quello che probabilmente appare come il più esteso furto di dati mai avvenuto: una falla di sicurezza ai danni di Epsilon, società statunitense specializzata in database marketing.

L’elenco di società colpite da questo caso di intrusione è già affollato, ma pare destinato a crescere ancora. Alcune delle società coinvolte sono American Express, BestBuy, Borders, Capital One, Citibank, Disney, The Home Shopping Network, JP Morgan Chase, Marriott Rewards, Hilton Worldwide, Ritz Carlton, TiVo, US Bank, Verizon e Visa.

Non sono stati rivelati dettagli circa le modalità con le quali sono stati violati i dati; l’unica comunicazione in merito rilasciata da Epsilon risale al primo aprile, e i messaggi continuano ad approdare nelle caselle di posta degli utenti coinvolti.

Epsilon ha dichiarato che “l’accesso non autorizzato al sistema email di Epsilon” ha colpito solo il 2% della propria base di clienti, a sua volta composta solamente da un sottogruppo di quelli a cui la società fornisce i propri servizi di posta elettronica. “Guardando la lista delle aziende colpite finora conosciuta, bisogna chiedersi se i cybercriminali siano riusciti a scorrere l’intero database selezionando solo i dati ritenuti di maggiore valore”, ha commentato Rik Ferguson, Director Security Research & Communication EMEA.

Ogni email di avviso e la dichiarazione ufficiale di Epsilon intendono rassicurare gli utenti del fatto che sono stati “ottenuti” (ovvero “illecitamente sottratti”) “solamente” nomi e indirizzi mail, a indicare che nessun altro tipo di dato, finanziario o di altra natura, è a rischio. “Sfortunatamente, questo approccio sdrammatizza il rischio agli occhi degli utenti e risulta fuorviante”, prosegue Ferguson. “I criminali non solo conoscono il nome e la email degli utenti, ma sanno anche dove fanno acquisti, dove hanno il conto bancario, quali hotel prenotano e molto altro ancora. Se gli utenti sono stati così sfortunati da ricevere più messaggi di avviso, si può immaginare il tipo di profilo che gli hacker in questo momento hanno a disposizione su di loro”.

Il rischio derivante dallo spear-phishing (ovvero una forma di phishing altamente mirata) è aumentato considerevolmente in conseguenza di questo caso di data breach; gli utenti dovrebbero pertanto essere più accorti che mai nel momento in cui ricevono email provenienti da soggetti colpiti richiedenti informazioni di natura personale.

È molto importante ricordare inoltre che il phishing non è l’unica attività criminosa perpetrata con questo tipo di frode. Questa miniera d’oro di informazioni fa sì che la progettazione di messaggi pericolosi risulti molto più semplice da realizzarsi. La mail, infatti, può apparire come se sia stata inviata da un’organizzazione o da un negozio nel quale gli utenti sono soliti acquistare; il suo unico scopo sarà quello di indurli a cliccare su un link. Nel complicato mondo del crimine online, spesso agli utenti basta un solo click per rimanere improvvisamente vittime di una violazione o di un’infezione. “Se un criminale prende possesso del PC di un utente, egli non ha alcun bisogno di chiedergli i suoi dati personali in quanto gli basta prenderli direttamente dal computer”, conclude Ferguson.

Alcuni consigli per evitare di cadere vittime di tali inconvenienti:

• Prestare la massima attenzione ai messaggi che si riceveranno nei prossimi mesi, se non addirittura anni.
• Non fornire mai informazioni personali a un sito Web senza aver usato un bookmark per arrivarci o senza aver digitato direttamente il link (ad esempio non seguite i link indicati nelle email).
• Prima di fornire dati personali, assicurarsi che la connessione sia cifrata con SSL. Ciò si capisce se l’indirizzo inizia con “https://”. Se non è crittografato, non fornire informazioni.
• Leggere attentamente la documentazione relativa alla privacy prima di comunicare un qualsiasi dato personale. Se ci sono elementi che non convincono, sospendere l’operazione.
• Per tutelarsi da simili inconvenienti optare per indirizzi diversi per ciascun servizio. Sull’argomento è disponibile un articolo di Rik Ferguson: http://www.zdnet.co.uk/news/security-management/2011/04/02/hacked-off-protect-your-email-from-a-breach-40092330/
• Per tutte le società che si occupano di gestire, archiviare o trasmettere i dati personali dei loro utenti …ricorrere alla CRITTOGRAFIA. Le aziende hanno il dovere di tutelare i dati dei propri clienti!