Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Data breach di un e-commerce: alcune indicazioni di gestione della violazione dal Garante Privacy.

Stefano Gazzella : 2 Novembre 2023 08:39

Cosa può succedere in caso di data breach di un e-commerce? Nel caso oggetto del provvedimento del Garante per la protezione dei dati personali n. 351 del 3 agosto 2023, è possibile che l’Authority eserciti i propri poteri correttivi. E come in questo caso può ingiungere non solo di comunicare la violazione agli interessati, ma anche di adottare le misure di sicurezza adeguate indicandone alcune come prioritarie.

Dal provvedimento è possibile così desumere alcuni elementi utili per la gestione della violazione dei dati personali nel contesto dell’e-commerce, applicabili in situazioni analoghe soprattutto per la valutazione dei rischi e il remediation plan.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure se solamente un curioso, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Tutto ha avuto inizio con un cliente che ha segnalato al gestore dell’e-commerce di aver reperito nel dark web un leak di dati riferibili al sito. All’esito della successiva indagine è stato accertata la violazione, consistente in una perdita di confidenzialità dei dati derivante da un accesso abusivo con esfiltrazione, e dunque è stata effettuata la notifica al Garante Privacy.

    c) le analisi conseguentemente condotte dalla società hanno consentito di accertare che la violazione ha tratto origine da un “hack del CMS […] Prestashop 1.7.6.5 […] con accesso del database e esportazione e pubblicazione” che ha interessato “un Backup-Server dei ns. Sistemi CMS, il quale al momento della violazione si trovava presso l’abitazione di un ns. dipendente informatico senza adeguato sistema di sicurezza a tale data”

    d) i dati oggetto di violazione sono stati il “nome, cognome, indirizzo (Via e n° civico se indicato), CAP, città, indirizzo email, data nascita, storico ordini (con prodotti acquistati), password criptato del user-account” di un numero di utenti del sito web che il titolare ha valutato come “non determinabile”, per un totale di “284.000” registrazioni di dati personali

    L’evento è stato valutato come non suscettibile di presentare un rischio elevato per gli interessati, dunque non è stata disposta alcuna comunicazione ai sensi dell’art. 34 GDPR.

    Il Garante Privacy ha dunque svolto alcuni accertamenti ulteriori con degli accessi online per inquadrare correttamente la violazione e la valutazione del rischio per gli interessati, andando ad approfondire:

    • le categorie dei prodotti commercializzati, individuandone alcune idonee a rivelare informazioni sulla vita sessuale degli acquirenti;
    • la disponibilità in rete dei dati personali sottratti, individuando 1,8Gb di dati personali di circa 900mila utenti del sito accessibili a pagamento;
    • le misure di sicurezza adottate, con particolare riguardo alle vulnerabilità software, individuandone una irrisolta al tempo della violazione nonostante la disponibilità di un aggiornamento da parte del produttore.

    All’esito delle verifiche svolte, pertanto, sono stati contestati alcuni passaggi riguardanti la gestione della violazione.

    Per quanto riguarda la valutazione di rischi, la violazione è stata considerata di rischio elevato per la natura e numerosità dei dati personali coinvolti dal momento che la perdita di confidenzialità di recapiti e domicili espone gli interessati a potenziali danni di gravità significativa mentre lo storico ordini, che può comprendere anche articoli da cui è possibile desumere informazioni sulla vita sessuale degli acquirenti, espone a rischi di pregiudizio, reputazione o discriminazione.

    Per quanto riguarda invece l’adeguatezza delle misure di sicurezza, il Garante ha riscontrato la mancanza di un remediation plan con indicazioni specifiche circa l’adozione di misure correttive e preventive.

    Tenuto conto dei rilievi svolti e con la riserva di svolgere ulteriori valutazioni anche in relazione a violazioni e all’applicazione di sanzioni, il provvedimento ha così avuto ad oggetto due ingiunzioni: la prima, riguardante la comunicazione della violazione agli interessati entro 10 giorni; la seconda, riguardante l’adozione di misure di sicurezza adeguate ai rischi entro 20 giorni.

    Le misure specificamente prescritte, inoltre, riguardano:

    la predisposizione di un programma di formazione del personale in materia di sicurezza informatica e di protezione dei dati personali, l’adozione di software privi di vulnerabilità note, e la periodica e tempestiva applicazione degli eventuali aggiornamenti di sicurezza successivamente resi disponibili dai produttori di tali software;

    ma viene richiesto di rendicontare anche le eventuali ulteriori sempre entro il medesimo termine di 20 giorni.

    Una valida lezione per tutti riguardante gli elementi da attenzionare: gestori di e-commerce, consulenti privacy e DPO.

    Stefano Gazzella
    Privacy Officer e Data Protection Officer, specializzato in advisoring legale per la compliance dei processi in ambito ICT Law. Formatore e trainer per la data protection e la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Giornalista pubblicista, fa divulgazione su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.
    Visita il sito web dell'autore

    Articoli in evidenza

    Crazyhunter: il nuovo ransomware con il “Sistema di Annientamento Dati Tridimensionale”

    Nelle ricognizioni nel mondo dell’underground e dei gruppi criminali svolte dal laboratorio di intelligence delle minacce DarkLab di Red Hot Cyber, ci siamo imbattuti all’interno di un D...

    Due mesi alla RHC Conference 2025! Grazie ai nostri Sponsor per aver reso questo evento possibile!

    Mancano solo due mesi alla quarta edizione della Red Hot Cyber Conference 2025, l’evento annuale gratuito organizzato dalla community di Red Hot Cyber. La conferenza si terrà a Roma, come ...

    Siti Italiani Presi di Mira! Il Deface di !FAKESITE e il Lato Oscuro dell’Hacktivismo

    Negli ultimi giorni, diversi siti web italiani sono stati presi di mira da un attacco di defacement, una tecnica utilizzata per modificare il contenuto di una pagina web senza il consenso del propriet...

    Italiani Nel Mirino: 464.508 Record Compromessi nei Forum underground in 2 giorni

    Negli ultimi giorni, il panorama della cybersecurity italiana è stato scosso da una serie di massicci data leak che hanno esposto centinaia di migliaia di informazioni sensibili di cittadini e az...

    La Terza Capture The Flag (CTF) di RHC è Pronta! Tra AI, Reti 4G e Stati Nazionali. Sei pronto?

    Red Hot Cyber, come ogni anno all’interno della RHC Conference, ospiterà la nuova Capture The Flag realizzata in collaborazione con CyberSecurityUP e Hackmageddon e Fondazione Bruno Kessle...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006