mercoledì 26 gennaio 2011

Honda "Hackura": un auto, cinque milioni di dati rubati

Ieri, ho letto un interessante articolo di eWeek che riporta una notizia un po' vecchia ma che qui da noi è passata quasi completamente sotto silenzio.

Il 28 dicembre scorso, la American Honda Motor ha fatto sapere che alcuni ignoti ladri hanno rubato una lista di dati personali di proprietari di autovetture Honda. Questi dati erano affidati a un fornitore esterno al fine di avviare una campagna di email di benvenuto.

Sembra una notizia banale, no? Effettivamente lo sarebbe, se non fosse che la "lista" contiene circa 2,2 milioni di dati riferiti ai proprietari di autovetture Honda Acura. Inoltre la lista contiene, per ogni proprietario di auto, i seguenti dati:
nome e cognome, login al portale, indirizzo di posta elettronica e il numero univoco di identificazione del veicolo (VIN). Ad aggravare l'evento c'è stata anche la segnalazione del furto di una seconda lista separata che contiene 2,7 milioni di dati. Honda ha fatto sapere che questa seconda lista non contiene il VIN.

Ovviamente la Honda, nel comunicato stampa, si è scusata per "l'incoveniente": "Ci scusiamo per gli eventuali disagi che ciò può provocare", ha detto la Honda "Come società, siamo convinti che tutte le relazioni con i clienti debbano essere costruite sulla fiducia. Ecco perché crediamo che sia importante dare informazioni su questo incidente".

La preoccupazione, espressa anche da Graham Cluley di Sophos, è che, adesso, questi dati possano essere utilizzati da criminali per costruire delle campagne di phishing e di scam particolarmente attendibili in quanto basate su dati reali.

Quindi, oltre alla sua intrinseca gravità, questo caso risulta particolarmente interessante (oltre che preoccupante) per le sue implicazioni. 

Infatti, in tempi in cui non si parla d'altro che di cloud e di esternalizzazione dei servizi questa vicenda mette in evidenza alcuni rischi:
1 un incidente di sicurezza che impatta un fornitore, si riflette in modo significativo su chi ha appaltato il servizio e quindi si deve valutare attentamente l'effettiva convenienza di affidarsi a terzi (soprattutto nel caso di fornitori che erogano servizi cloud-based)
2 i dati, soprattutto se gestiti da terzi, devono essere attentamente classificati e gestiti di conseguenza (in questo caso il VIN forse non era necessario per la campagna di marketing)
3 è necessario avere una procedura di gestione degli incidenti che consenta di agire tempestivamente, in sinergia con il fornitore, affinché i danni siano minimizzati
4 è necessario valutare approfonditamente le garanzie contrattuali al fine di cautelarsi da questo tipo di eventi  

Insomma, Honda aveva dei clienti di auto di lusso, che voleva in qualche modo "coccolare" e fidelizzare e invece si trova a dover gestire qualche milione di utenti arrabbiati, a prescindere dalla qualità dell'auto venduta. 

Come si dice, a volte, il meglio è nemico del bene...

Nessun commento:

Posta un commento

http://www.wikio.it