Home Prodotti Sicurezza Data breach e privacy per gli utenti: quali sono i rischi?

Data breach e privacy per gli utenti: quali sono i rischi?

La privacy su Internet è un argomento sempre più dibattuto sia dagli stessi utenti della rete, sia dalle società che operano nel web.

Proprio recentemente l’argomento è saltato di nuovo agli onori della cronaca per il furto di dati da Facebook, dove le informazioni di circa 533 milioni di utenti sono state trafugate dal social. Dopo ogni furto di queste genere, le persone che rimangono più esposte sono sempre gli utenti.

Sempre se gli utenti riescono a scoprire di essere rimasti vittima di un data breach. Fortunatamente esiste un obbligo per le società di informare i propri utenti quando avviene una violazione dei dati. Però non sempre questi data breach vengono individuati quando avvengono: in molti casi avviene tempo dopo l’intrusione nei server da parte dei malintenzionati.

I rischi di un data breach per gli utenti

Molti utenti ancora sottovalutano il pericolo dei data breach: considerano questo fenomeno come un qualcosa che riguarda più le aziende che i singoli utenti. In realtà, gli utenti sono i primi a subire i danni dopo un data breach ai danni di un’azienda. Per un utente di Internet, usare tutti i mezzi a disposizione per proteggere i dati personali è fondamentale: da un buon antivirus fino a servizi come le reti VPN.

Cosa è una rete privata virtuale? Si tratta di una VPN (Virtual Private Network), un servizio che garantisce una connessione protetta grazie alla crittografia AES a 256 bit per navigare su Internet in sicurezza e anche in anonimato. Ciò non toglie però che il buonsenso è la difesa migliore per proteggere la propria privacy sul web. Quando si tratta di data breach però, cosa può fare un utente per proteggere i propri dati personali?

Nel caso di un data breach, la colpa non è dell’utente: si tratta dei server dell’azienda che sono stati compromessi durante un attacco informatico. Non sempre si viene avvertiti in tempo reale, perciò bisogna pensare sempre al caso peggiore: ovvero che i dati legati all’account compromesso in un data breach sono finiti nelle mani dei malintenzionati già da molti giorni. Ciò però non deve essere vista come una rassicurazione.

Dopo ogni furto di dati, le informazioni raccolte vengono spesso e volentieri vendute sul dark web. I dati girano e passano da database a database, con un solo scopo: collegare diversi dati fra loro ma che appartengono a uno stesso account.

Per fare un esempio:

  • In una violazione ai danni di un negozio di e-commerce vengono rubati alcuni dati, fra cui la tua data di nascita e il tuo nome/cognome.
  • Mesi dopo, in un altro data breach presso un’azienda di un’app che usi sul tuo smartphone, ti vengono rubate altre informazioni come la password dell’account di quella determinata app.
  • Da una banale (e automatizzata) ricerca su Internet del tuo nome e cognome, spunta fuori il tuo profilo su Linkedin dove hai scritto il tuo indirizzo email personale per farti contattare in caso ti volessero scrivere per motivi di lavoro.

Se sommiamo a tutto ciò pratiche scorrette per la sicurezza degli account, la frittata è già fatta. Durante il Word Password Day del 2020, un report del settore ha mostrato come, considerato un campione di utenti di Internet, ben il 53% usava la stessa password per più account o servizi differenti. Proseguendo con l’esempio iniziato, se abbiamo usato la stessa password per il nostro indirizzo email personale e per l’account di e-commerce vittima del data breach iniziale, ci troviamo in grossi problemi.

I malintenzionati, infatti, avrebbero accesso alla nostra email personale, un vero e proprio “el dorado” di dati personali. Ma anche un metodo per venire a conoscenza di tutti gli account che abbiamo presso tutti i servizi e piattaforme online (così come un cavallo di troia per reimpostare le password e rubarci degli account oppure rubare gli indirizzi email e dati dei nostri contatti in rubrica).

Le violazioni dal punto di vista aziendale

Se abbiamo chiari i pericoli che possono correre gli utenti dopo un data breach,  ora dobbiamo considerare anche quali sono i problemi dal lato aziendale. Perché le imprese subiscono non solo danni di immagine dopo un data breach, ma anche dati economici. Le aziende dovrebbero porre maggiore attenzione alla sicurezza dei dati dei propri utenti e la loro privacy: nel 2020 l’Italia ha avuto la maglia nera per multe per violazioni del GDPR (46 milioni di euro di sanzioni).

Lato data breach invece, solo nel 2019 in Italia c’è stata una media di 4 data breach al giorno: il Garante della Privacy ha infatti ricevuto 1443 segnalazioni di incidenti informatici di questo tipo (perché per le aziende vige l’obbligo di segnalare il data breach entro 72 ore da quando viene riscontrato). A livello mondiale, il costo di un data breach in media è di 3,86 milioni di dollari per un’azienda: per ogni singolo set di dati sottratto, si parla di circa 146 dollari di danni.

E ci vuole (molto) tempo per individuare un data breach, una media di 280 giorni per scoprire una violazione dei server aziendali e poi risolverla. Oltre agli evidenti danni economici e di risorse per riuscire a risolvere il problema, sussiste anche il danno di immagine. Quando un’azienda cade vittima di un data breach, gli utenti scoprono di essere vulnerabili e di non sentirsi sicuri sui siti, piattaforme oppure app dell’azienda in questione.

La prima cosa che accade? Il fuggi-fuggi generale sui servizi della concorrenza. Infatti, nel costo medio dei danni di un data breach, circa il 40% dei danni deriva dai mancati introiti per gli utenti che abbandonano l’utilizzo del servizio vittima del data breach. Senza poi considerare i costi necessari per aggiornare il livello di sicurezza delle proprie infrastrutture e chiudere quindi la vulnerabilità.

Cosa fare subito dopo un data breach

Diventare vittima di un data breach non dipende da noi. Ma considerato il numero di attacchi di questo genere che avvengono ogni giorno, possiamo affermare che tutti sono vittima di un data breach prima o poi (specialmente se si utilizzano social network o siti di e-commerce molto conosciuti). Un ottimo servizio per scoprire se il proprio indirizzo email fa parte di un data breach è ihavebeenpwned: qui basta inserire un indirizzo email e il servizio ci riferisce se è stato trovato in qualche data breach.

Se si scopre di essere vittima di un data breach:

  • La prima cosa da fare è cambiare la password dell’account del servizio compromesso dal data breach
  • Come secondo step, bisogna cambiare poi la password dell’indirizzo email legato all’account compromesso (evitate di usare le stesse password per più account diversi)
  • Se avete dei metodi di pagamento legati all’account compromesso, teneteli sotto controllo per vedere se avete dei movimenti sospetti recenti

Per limitare i danni derivanti da un data breach, la cosa migliore da fare è sempre prevenire. Un consiglio spesso sottovalutato è il seguente: bisogna fare attenzione quando ci si registra su un sito o un’app. Leggete bene i “consensi al trattamento dati” che fornite durante l’iscrizione, perché spesso avrete la possibilità di bloccare la condivisione dei vostri dati personali (incluse email) con le terze parti. E meno vengono condivisi i vostri dati, minori saranno le possibilità di rimanere vittime di un data breach.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche
css.php