NEWS

Data breach, non c’è solo il Gdpr: imprese avvisate dopo il caso Yves Rocher

Generalmente quando nelle aziende si verificano delle ingenti perdite di dati il primo pensiero va alle sanzioni che possono comportare le violazioni del Gdpr, ma il caso che ha recentemente coinvolto il gruppo di cosmesi francese Yves Rocher impone una riflessione su altre gravi conseguenze a cui possono andare incontro le società che si imbattono in un data breach.

Secondo quanto infatti riportato dai ricercatori di vpnMentor, le informazioni personali di 2,5 milioni di clienti canadesi della Yves Rocher sono state trovate non protette ed accessibili in un gigantesco database online di Aliznet, una società specializzata nella trasformazione digitale, che trai propri clienti annovera giganti della tecnologia del calibro di IBM, Oracle, Salesforce, e anche grandi marchi tra cui Auchan, Lacoste, Louboutin, e Sephora.

Che si trattasse di una violazione che mette a rischio la privacy dei clienti di Yves Rocher, lo si è capito subito dal fatto che la grande mole di dati scoperta dagli esperti di security comprende numeri di telefono, indirizzi e-mail, date di nascita, codici postali, nonché oltre sei milioni di ordini con ID univoco che consente non solo di identificare il cliente, ma anche di conoscerne l’importo dell’acquisto effettuato, i dettagli della transazione, la valuta utilizzata, la data di consegna, e anche l’ubicazione del negozio.

Insieme a queste informazioni personali, i ricercatori hanno però trovato anche dati interni della Yves Rocher, tra cui le statistiche sul traffico online, i volumi di fatturato, le descrizioni dei prodotti, gli ingredienti di oltre 40.000 prodotti, i prezzi dei prodotti, ed i codici di offerta usati per le promozioni.

Come se le informazioni trapelate all’esterno non fossero già abbastanza, il team degli esperti di vpnMentor, ha riscontrato anche una vulnerabilità API che consentiva di accedere a un’applicazione gestionale ad uso interno dei dipendenti di Yves Rocher, con la possibilità di aggiungere, modificare, e persino eliminare i dati presenti nella banca dati aziendale.

Considerando che il Gruppo Rocher ha un fatturato di 2 miliardi di euro annui e 18mila dipendenti, tali informazioni rappresentano un’enorme risorsa per competitor ed altre organizzazioni senza scrupoli, consentendo loro di stimare le vendite dei negozi ed i volumi degli ordinativi, ma anche di creare campagne pubblicitarie altamente efficaci che potrebbero causare una notevole perdita di clienti per Yves Rocher rispetto alla concorrenza del settore della cosmesi e della bellezza, con il pericolo di subire drastici cali nelle vendite, che a loro volta metterebbero a repentaglio i posti di lavoro.

Quando le aziende devono affrontare i temi della protezione dei dati, non ci sono quindi solo da evitare le pesanti multe del Gdpr, come non ci sono solo da tutelare i diritti delle persone, che pur rappresentano sempre l’anello più debole della catena. C’è anche da difendere con le unghie e con i denti l’intero patrimonio informativo, fatto di dati commerciali e strategici, segreti industriali, dossier riservati, e tante altre informazioni che devono praticamente rimanere “top secret”, dalla cui sicurezza può dipendere il futuro della stessa azienda.

Nòva 24 Il Sole 24 Ore - di Nicola Bernardi, presidente di Federprivacy - @Nicola_Bernardi

Note sull'autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev Usa: non entra chi ha amici sbagliati su Facebook
Next Valutazione d'impatto e videosorveglianza con il Gdpr

Qwant: occhio alla profilazione online, le cose da sapere

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
captcha 
Privacy e Termini di Utilizzo