Le due aziende automobilistiche Volkswagen e Audi hanno subito un nuovo data breach
La filiale nordamericana della Volkswagen, Volkswagen Group of America (VWGOA), che gestisce le operazioni di Volkswagen, Audi, Bentley, Bugatti, Lamborghini e VW Credit negli Stati Uniti e in Canada, ha subito un data breach che ha esposto i dati personali di 3,3 milioni di clienti.
La violazione è avvenuta perché un fornitore esterno del gruppo ha esposto su internet dei dati non protetti degli utenti. Questi dati sarebbero quelli raccolti tra il 2014 e il 2019, riguarderebbero per la maggior parte i contatti (nome, cognome, numero di telefono, indirizzi) degli acquirenti di macchine prodotte dalla Audi, e sarebbero rimasti su internet per quasi due anni (da luglio 2019 a maggio 2021).
In altri casi si legge che questi dati riguarderebbero anche delle informazioni sui veicoli acquistati o noleggiati (tipo il numero di targa, il modello, l’anno, il colore e il pacchetto di finiture interne), l’idoneità per l’acquisto di esse, numeri delle patenti, numeri di previdenza sociale e conto corrente, date di nascita e altre informazioni fiscali.
Ancora non si sa se i dati siano già stati usati in modo fraudolento, ma Volkswagen ha già iniziato a notificare i vari i vari clienti. Ai 90000 utenti vittime del data breach, inoltre, verranno offerti servizi gratuiti di protezione del credito e un milione di dollari dell’assicurazione per furto d’identità.
Leggi anche eGlobal Central IT, noto e-commerce, chiude i battenti
Si tratta, in ogni caso, dell’ennesimo attacco alla supply chain (catena di distribuzione di un prodotto) che ha colpito una grande azienda tramite una vulnerabilità di un piccolo fornitore di terze parti, che rappresentano sempre di più l’anello debole di tutto il processo di fornitura.
Pierluigi Paganini, analista di Cyber Security e CEO CYBHORUS, ha sottolineato di come questa violazione di dati evidenzi ancora ddi più la criticità della gestione dell’intera catena di valore dell’impresa. Secondo l’analista infatti questi attacchi possono avere grandi conseguenze sulle aziende e il settore in cui operano, quindi è necessario che le aziende analizzino i sistemi di sicurezza implementati dai loro fornitori e che facciano stabilire degli standard di riferimento per la cyber security e dei requisiti minimi che i fornitori di terze parti devono rispettare.
Sempre secondo Paganini, il problema è piuttosto critico soprattutto per tutte le aziende che lavorano in settori sensibili, come quello delle infrastrutture, dove c’è bisogno dell’adozione di misure tecniche ed organizzative adeguate alla gestione di questi rischi e alla prevenzione degli incidenti informatici. L’analista ha concluso dicendo che la gestione del rischio della catena di approvvigionamento è uno dei principi cardini per le aziende che sono incluse nel ‘perimetro cibernetico nazionale.
Cosa ne pensate di questa faccenda? Scrivetecelo nei commenti!
Fonte: 1.