GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/475/00.png

Dettaglio news
De Agostini Scuola hacked: sottratti i dati di utenti minorenni?


mercoledì 20 gennaio 2021



“Gentile Utente,
Con la presente ti informiamo che siamo venuti a conoscenza di una possibile violazione dei dati personali (un cosiddetto “data breach”) presenti nel portale “deascuola.it”. Stiamo svolgendo accurate indagini interne, tuttavia non possiamo escludere un eventuale data breach che potrebbe comportare eventuali furti d’identità, attività di phishing o l’accesso non autorizzato al portale o ad altri siti Internet in cui sono state utilizzate le medesime username e password utilizzate nel portale”
.

Questa la mail ricevuta da centinaia di utenti DeA Scuola, il reparto dedicato alla didattica di De Agostini, qualche giorno fa. Avviso che arriva ben 9 giorni dopo la pubblicazione su Twitter di uno screenshot, da parte di anonimo, contenente una lista di email e un messaggio:

“Ho appena scaricato i database di deascuola.it. Ci sono 250 mila combinazioni di mail e password. Scrivetemi in privato se le volete”.



Pare che De Agostini sia venuta a conoscenza del breach subito da questo tweet, dal qualche è nata una discussione che ha visto l'intervento diretto dall'account ufficiale di De Agostini qualche giorno dopo, il 5 Gennaio:

“La nostra società presta da sempre la massima attenzione alla tutela della privacy dei propri utenti ed il nostro team IT è al lavoro da ieri per analizzare i problemi legati al leak e risolverli nel più breve tempo possibile

Fatto sta che il breach potrebbe riguardare 250.000 utenti, anche se il dato non proviene da fonti ufficiali, ma dalle indiscrezioni emerse sul database messo in vendita nel dark web: tra i dati compromessi potrebbero trovarsi nominativi, password, codici fiscali, indirizzi. Ma la principale preoccupazione è legata all'eventuale violazione dei dati degli utenti che usufruiscono della piattaforma DaD sviluppata e messa a disposizione da De Agostini: è verosimile pensare che molti possano essere minori.

Il condizionale è d'obbligo, ma il rischio è concreto
E' la società stessa a indicare che non è possibile escludere il breach, questo il testo completo:

" Gentile Utente,
Con la presente ti informiamo che siamo venuti a conoscenza di una possibile violazione dei dati personali (un cosiddetto “data breach”) presenti nel portale “deascuola.it”.

Stiamo svolgendo accurate indagini interne, tuttavia non possiamo escludere un eventuale data breach che potrebbe comportare eventuali furti d’identità, attività di phishing o l’accesso non autorizzato al portale o ad altri siti Internet in cui sono state utilizzate le medesime username e password utilizzate nel portale.

Per minimizzare questo rischio, abbiamo resettato la tua password e, al prossimo accesso al portale “deascuola.it”, ti sarà chiesto di scegliere una nuova password. Inoltre, come ulteriore misura precauzionale, ti invitiamo a modificare username e password di accesso ad altri siti web, applicazioni o servizi digitali qualora dovessero corrispondere a quelle utilizzate per accedere al nostro portale.

La nostra società presta da sempre la massima attenzione alla tutela della privacy, con particolare riferimento all’adozione di misure di sicurezza conformi ai più alti standard di mercato, nonché a quanto richiesto dalla normativa sulla protezione dei dati personali, per evitare incidenti di sicurezza che comportino, in via accidentale o illecita, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali da noi trattati.

Per eventuali ulteriori chiarimenti, ti invitiamo a contattarci all’indirizzo [email protected]"

Una comunicazione che contraddice se stessa, laddove si dichiara grande attenzione per la privacy e per i dati degli utenti, pur avvisando dei rischi di furto di indentità o tentativi di phishing.

Password criptate o in chiaro?
La parte più preoccupante, anche se dovuta, è quella dove si specifica che il breach potrebbe comportare anche l'accesso ad altri siti che utilizzano la stessa combinazione nome utente / password utilizzata sul portale DeA Scuola. E' preoccupante poichè, anche nel caso in cui gli attaccanti siano riusciti ad accedere alle credenziali degli utenti, in teoria queste non dovrebbero essere utilizzabili poichè, a norma di legge, dovrebbero essere conservate in forma criptata.

E se il condizionale è d'obbligo, qualche dubbio è legittimo, poichè la De Agostini ha proceduto ad un reset completo delle password degli utenti, che ad ora non riescono neppure ad accedere ai propri dati. Evidentemente a De Agostini non ritengono più sicure le vecchie credenziali ed è legittimo pensare quindi che queste, forse, non fossero salvate in forma protetta criptata: una eventuale mancanza che potrebbe pesare molto, sopratutto nel caso in cui tra i dati sottratti figurassero davvero quelli di utenti minorenni. 

Al momento il consiglio per chiunque sia registrato al portale DeA Scuola è quello di procedere alla modifica degli accessi su tutti i siti dove è in uso la stessa coppia di credenziali, come misura di mitigazione del rischio di eventuali accessi su altri servizi. Più difficile sarà poter verificare eventuali utilizzi delle identità rubate a fini di truffa: ancora una volta, purtroppo, tocca amaramente constatare che i nostri dati hanno molto più valore per chi li ruba che per le aziende che dovrebbero proteggerli.




CONDIVIDI QUESTA PAGINA!