Volkswagen e Audi, leggerezza di un fornitore USA causa grave data breach
3,3 milioni di persone coinvolte.
Non c'è giorno ormai in cui non si parla di attacchi hacker e furto di dati personali in rete. E ancora una volta il settore coinvolto è quello dell'automotive, così come era accaduto alcuni mesi fa con Tesla: allora il data breach era servito per rubare segreti industriali, questa volta invece l'obiettivo pare essere ancora più meschino, ovvero il furto di informazioni dei clienti di Volkswagen e Audi per entrare in possesso di informazioni sensibili dei clienti e per indirizzare specifiche campagne di phishing.
Il caso risale a diverso tempo fa, ma la Casa ha completato le indagini partite a marzo di quest'anno solo ora. Così si legge nella mail inviata ai clienti vittime dell'attacco:
Il 10 marzo 2021 siamo stati avvisati del fatto che una terza parte non autorizzata potrebbe aver ottenuto alcune informazioni dei clienti. Abbiamo immediatamente dato il via da una investigazione per determinare la natura e lo scopo di questo evento. L'investigazione ha confermato che la terza parte ha ottenuto un numero limitato di informazioni personali ricevute da o riguardo clienti e potenziali acquirenti, incluso tu, da un fornitore di Audi, Volkswagen e alcuni dealer autorizzati negli USA e in Canada.
COSA É SUCCESSO
I dati rubati risalgono al periodo 2014-2019 e sembra siano stati esposti tra l'agosto 2019 e il maggio 2021 a causa di una leggerezza del fornitore stesso, che avrebbe salvato le informazioni di 3,3 milioni di clienti senza le dovute precauzioni di sicurezza. La stragrande maggioranza dei dati riguarda nome e cognome dei clienti, indirizzo mail, numero di telefono, giorno di nascita e dati assicurativi, in altri casi – più limitati – i dati si sono estesi anche alle informazioni sull'auto acquistata/noleggiata o di cui si sono chieste informazioni, tra cui VIN, modello e colore. Purtroppo sono frequenti anche i casi in cui sono state esposte informazioni ancora più sensibili, come ad esempio il numero della patente di guida.
E ora? Ripetiamo che il caso è limitato ad uno specifico fornitore di VW, Audi e di alcuni concessionari negli Stati Uniti e non ci riguarda direttamente, ma ciò non toglie la gravità del fatto e la leggerezza con cui il soggetto abbia trattato i dati dei clienti. Volkswagen suggerisce di mettersi in contatto con la società IDX che li affiancherà per risolvere il problema prevedendo anche una protezione assicurativa. Il consiglio è quello di non rispondere ad eventuali mail provenienti da "Volkswagen" o "Audi" (o dal fornitore stesso) in quanto mai vengono chiesti dati sensibili tramite questi canali. Il rischio infatti è che non solo i dati siano finiti nelle mani sbagliate, ma anche che le preziose informazioni possano essere sfruttate per phishing e acquisizione di ulteriori dettagli ancor più personali – vedasi numero delle carte di credito, ad esempio.
