L’attacco informatico, riconducibile a un accesso non autorizzato ai sistemi tramite una vulnerabilità tecnica, ha comportato l’esfiltrazione di nomi, cognomi, indirizzi email, username e password.

Una sanzione di 85mila euro è stata inviata dal Garante per la protezione dei dati personali a The European House – Ambrosetti S.p.A., società di consulenza strategica e think tank, per carenze nelle misure di sicurezza e nella gestione della comunicazione agli interessati dopo un data breach.

Le criticità, spiega l’Autorità nel provvedimento, sono emerse a seguito di una violazione che ha coinvolto 61.670 persone, tra dipendenti di aziende clienti e personale interno che utilizzavano i servizi online della società. La comunicazione agli interessati è stata giudicata tardiva ed è avvenuta solo dopo l’intervento del Garante.

Data breach Ambrosetti: esfiltrati dati e credenziali

L’attacco informatico, riconducibile a un accesso non autorizzato ai sistemi tramite una vulnerabilità tecnica, ha comportato l’esfiltrazione di nomi, cognomi, indirizzi email, username e password.

Nel provvedimento emergono anche ulteriori dettagli tecnici. La violazione sarebbe avvenuta attraverso una vulnerabilità di tipo SQL injection su un database collegato a circa dieci applicativi. In una prima fase gli interessati potenzialmente coinvolti erano stati stimati in 134.303, poi ridotti a 61.670 dopo attività di verifica e deduplicazione.

Dagli accertamenti del Garante sono emerse diverse violazioni della normativa privacy. In particolare, la società conservava una parte delle password in chiaro e un’altra mediante tecniche crittografiche non conformi agli standard di sicurezza più avanzati. L’Autorità ha rilevato che circa 98mila password erano conservate con MD5, non sempre con salt, mentre circa 36mila risultavano conservate in chiaro.

Il Garante ha contestato anche la conservazione di credenziali riferite a sistemi non più in uso o comunque superati da interventi di aggiornamento già completati tra il 2020 e il 2022. Un profilo che riguarda non solo la sicurezza delle password, ma anche il rispetto del principio di limitazione della conservazione dei dati.

Comunicazione tardiva agli interessati

L’Autorità ha inoltre accertato che la società, pur avendo notificato il data breach entro le 72 ore previste dalla normativa, non ha informato tempestivamente gli interessati, nonostante la violazione potesse rappresentare un rischio elevato per i loro diritti e libertà.

La comunicazione agli utenti è avvenuta a distanza di circa due mesi dalla scoperta dell’incidente, solo dopo un provvedimento correttivo del Garante. In particolare, la società ha inviato una comunicazione diretta a 54.917 interessati e ha poi utilizzato altri canali, tra sito, social, comunicati stampa e avvisi alle società clienti, per raggiungere gli altri soggetti coinvolti.

Nel corso dell’audizione, Ambrosetti ha rappresentato che l’invio della comunicazione agli interessati destava preoccupazione per possibili rischi reputazionali, anche in un periodo segnato dall’organizzazione della cinquantesima edizione del Forum di Cernobbio e da cambiamenti nell’assetto societario. Per il Garante, però, tali ragioni non giustificano il ritardo e non possono prevalere sui diritti delle persone coinvolte.

Le misure dopo l’incidente

A seguito dell’incidente, la società ha dichiarato di aver avviato una serie di interventi correttivi, tra cui un percorso per ottenere la certificazione ISO 27001, il rafforzamento delle procedure di selezione dei fornitori ICT, nuove iniziative formative e l’interruzione del rapporto con il precedente DPO.

Con il provvedimento, il Garante ribadisce la necessità per i titolari del trattamento di adottare misure tecniche e organizzative adeguate, proteggere correttamente le credenziali e gestire in modo tempestivo e trasparente le violazioni dei dati personali. Le esigenze reputazionali di una società non possono prevalere sui diritti delle persone coinvolte.

Vai al sito di Cybersecurity Italia.

L'articolo Data Breach, sanzione di 85mila euro a The European House – Ambrosetti sembra essere il primo su CyberSecurity Italia.