Eataly colpita da un attacco informatico, effettuate le notifiche ai sensi della Direttiva NIS2 e del GDPR
Eataly ha avvisato i propri clienti di aver rilevato un attacco informatico contro l’infrastruttura che ospita il suo e-commerce. La comunicazione è arrivata via email agli utenti indicando l’attivazione di misure straordinarie di sicurezza.
“In queste ore abbiamo applicato alcune misure straordinarie, dopo aver rilevato un attacco informatico all’infrastruttura che ospita l’e-commerce”, si legge nell’email inviata ai clienti. L’azienda ha spiegato che al momento non risulta un download dei dati ma ha precisato però che l’attacco potrebbe aver esposto alcune informazioni personali presenti negli account.
Quali dati potrebbero essere stati esposti - “Alla luce delle verifiche svolte con i nostri partner di cybersecurity, sebbene non risulti un download dei dati, è possibile che questo attacco abbia esposto i dati personali (anagrafici / di contatto) presenti nel suo account (come nome, cognome, data di nascita, codice fiscale, indirizzi e recapiti) e i dati degli acquisti effettuati”, si legge nella comunicazione.
Si tratta di informazioni che, anche in assenza di dati finanziari completi, possono essere utilizzate per tentativi di phishing, truffe mirate o comunicazioni fraudolente costruite sulla base degli ordini o dei dati personali dei clienti.
Eataly ha infatti richiamato l’attenzione degli utenti su possibili email sospette o circostanze insolite nell’utilizzo dei propri account.
Carte di credito e password - L’azienda ha precisato che non conserva i dati completi delle carte di credito e ha aggiunto che le password di accesso al sito erano memorizzate con tecniche di cifratura avanzata, conformi alle best practice. Secondo la società, anche se presenti nell’infrastruttura coinvolta dall’attacco, non sarebbe stato tecnicamente possibile leggerle in chiaro.
Nonostante questo, l’azienda ha consigliato agli utenti di modificare la password dell’account Eataly e di cambiarla anche su eventuali altri servizi in cui fosse stata usata la stessa password.
Rischio phishing - Dopo la scoperta dell’attacco, Eataly ha effettuato il logout da tutti gli account connessi ed è intervenuta sugli elementi dell’infrastruttura che avrebbero potuto consentire l’accesso ai dati dell’e-commerce.
L’azienda ha affermato inoltre di aver comunicato l’accaduto alle autorità competenti, nel rispetto della direttiva NIS2 e del GDPR. La mail inviata agli utenti valeva come comunicazione agli interessati ai sensi dell’articolo 34 del GDPR, che prevede la notifica della violazione dei dati personali quando l’evento può comportare un rischio elevato per i diritti e le libertà delle persone.
Verifiche ancora in corso - L’azienda ha informato che “le attività e le verifiche tecniche sono ancora in corso” e che avrebbe aggiornato i clienti sugli sviluppi. Per eventuali dubbi o richieste di informazioni, l’azienda ha indicato l’indirizzo [email protected] e quello del responsabile della protezione dei dati, [email protected].
Il rischio principale, in questa fase, riguarda eventuali campagne di phishing costruite sfruttando i dati anagrafici o le informazioni sugli acquisti. Per questo gli utenti sono invitati a verificare con attenzione mittenti, link, allegati e richieste anomale legate al proprio account.
Fonte: Cybersecurity Italia
