Volkswagen America e diverse sedi della catena di fast food McDonald's hanno denunciato data breach di dati di clienti e dipendenti. Due casi separati che, se non altro per il calibro dei brand coinvolti, danno l'idea di quanto sia complicato mantenere al sicuro i dati.

Partiamo con il caso di Volkswagen. La violazione ha interessato un fornitore di terze parti che ha esposto i dati personali di oltre 3,3 milioni di clienti, la maggior parte dei quali proprietari di vetture Audi. A lasciare online i dati incustoditi non è stata direttamente l'azienda automobilistica tedesca, ma una controllata Audi e rivenditori autorizzati negli Stati Uniti e in Canada.

Dalla documentazione ufficiale in possesso del Procuratore Generale del Maine, il data breach riguarderebbe i dati dei clienti rimasti online senza adeguata protezione dal 2014 al 2019 e tra agosto 2019 e maggio 2021. Per oltre il 97% dei casi, i dati includono informazioni personali su clienti e potenziali acquirenti, inclusi nome, indirizzi postali personali o aziendali, numero di patente di guida, indirizzi e-mail e numeri di telefono. Un numero molto ridotto di record include date di nascita, numeri di previdenza sociale, numeri di conto corrente e di identificazione fiscale.
Per alcune persone, i dati includono anche informazioni su un veicolo acquistato, affittato o preso in leasing, come il numero di identificazione del veicolo (VIN), marca, modello, anno, colore e altro. In alcuni casi, (circa 90.000 clienti Audi o acquirenti interessati), i dati includono informazioni più sensibili relative all'idoneità per un acquisto, un prestito o un leasing. Quasi tutti i dati più sensibili (oltre il 95%) è costituito da numeri di patente di guida.

Volkswagen è venuta a conoscenza della violazione dei dati il 10 marzo e ha immediatamente avviato un'indagine con il supporto di consulenti esterni e forze dell'ordine.

McDonald's

Differente è il caso di McDonald's, dove si è verificato un attacco informatico che ha causato l'esposizione di un limitato numero di dati. I cyber criminali hanno rubato informazioni appartenenti ad alcuni clienti e dipendenti di Stati Uniti, Corea del Sud e Taiwan.

Dopo avere compromesso la rete aziendale, gli attaccanti hanno rubato informazioni commerciali e di contatto appartenenti a dipendenti e franchising degli Stati Uniti, e informazioni personali relative ai clienti in Corea del Sud e Taiwan. In questo secondo caso sono compresi nomi, email, numeri di telefono e recapiti postali.

L'azienda sottolinea che i dati finanziari non sono stati oggetto di furto. In ogni caso, a tutte le persone coinvolte è consigliato di prestare attenzione alle email di phishing. La buona notizia è che i sistemi di detection di McDonald's hanno identificato rapidamente la violazione della sicurezza e circoscritto la minaccia. L'azienda sta notificando l'accaduto ai clienti coinvolti e alle autorità in tutti i mercati interessati.