Volkswagen America e diverse sedi della catena di fast food McDonald's hanno denunciato
data breach di dati di clienti e dipendenti. Due casi separati che, se non altro per il calibro dei brand coinvolti, danno l'idea di quanto sia complicato mantenere al sicuro i dati.
Partiamo con il caso di Volkswagen. La violazione ha interessato un fornitore di terze parti che
ha esposto i dati personali di oltre 3,3 milioni di clienti, la maggior parte dei quali proprietari di vetture Audi. A lasciare online i
dati incustoditi non è stata direttamente l'azienda automobilistica tedesca, ma una controllata Audi e rivenditori autorizzati negli Stati Uniti e in Canada.
Dalla
documentazione ufficiale in possesso del Procuratore Generale del Maine, il data breach riguarderebbe i dati dei clienti rimasti online senza adeguata protezione dal 2014 al 2019 e tra agosto 2019 e maggio 2021. Per oltre il 97% dei casi, i dati includono
informazioni personali su clienti e potenziali acquirenti, inclusi nome, indirizzi postali personali o aziendali, numero di patente di guida, indirizzi e-mail e numeri di telefono. Un numero molto ridotto di record include date di nascita, numeri di previdenza sociale, numeri di conto corrente e di identificazione fiscale.
Per alcune persone, i dati includono anche informazioni su un veicolo acquistato, affittato o preso in leasing, come il numero di identificazione del veicolo (VIN), marca, modello, anno, colore e altro. In alcuni casi, (circa 90.000 clienti Audi o acquirenti interessati), i dati includono informazioni più sensibili relative all'idoneità per un acquisto, un prestito o un leasing. Quasi tutti i dati più sensibili (oltre il 95%) è costituito da numeri di patente di guida.
Volkswagen è venuta a conoscenza della
violazione dei dati il 10 marzo e ha immediatamente avviato un'indagine con il supporto di consulenti esterni e forze dell'ordine.
McDonald's
Differente è il caso di McDonald's, dove si è
verificato un
attacco informatico che ha causato l'esposizione di un limitato numero di dati. I cyber criminali hanno rubato informazioni appartenenti ad alcuni clienti e dipendenti di
Stati Uniti, Corea del Sud e Taiwan.
Dopo avere compromesso la rete aziendale, gli attaccanti hanno
rubato informazioni commerciali e di contatto appartenenti a dipendenti e franchising degli Stati Uniti, e informazioni personali relative ai clienti in Corea del Sud e Taiwan. In questo secondo caso sono compresi nomi, email, numeri di telefono e recapiti postali.
L'azienda sottolinea che
i dati finanziari non sono stati oggetto di furto. In ogni caso, a tutte le persone coinvolte è consigliato di
prestare attenzione alle email di phishing. La buona notizia è che i sistemi di detection di McDonald's hanno identificato rapidamente la violazione della sicurezza e circoscritto la minaccia. L'azienda sta notificando l'accaduto ai clienti coinvolti e alle autorità in tutti i mercati interessati.