Negli ultimi giorni, il panorama della sicurezza informatica è stato scosso da due episodi di rilevanza internazionale, che hanno evidenziato le vulnerabilità legate alla digitalizzazione. Volkswagen e InfoCert, due realtà leader nei rispettivi settori, sono state protagoniste di gravi violazioni dei dati che hanno coinvolto centinaia di migliaia di veicoli e milioni di utenti. Questi incidenti sollevano interrogativi cruciali sulla protezione delle informazioni personali e sull’adeguatezza delle misure di sicurezza adottate dalle aziende tecnologiche. Analizziamo i dettagli di questi eventi, il loro impatto e le possibili conseguenze per i consumatori.
Violazione dei dati Volkswagen: 800.000 veicoli coinvolti
Un recente caso ha portato alla luce gravi lacune nella sicurezza dei dati all’interno del gruppo Volkswagen, coinvolgendo 800.000 veicoli elettrici. Secondo le indagini, dati sensibili come informazioni personali e localizzazioni GPS sono stati esposti a causa di un server Amazon Cloud mal configurato, utilizzato dal ramo tecnologico Cariad per gestire i dati dei sistemi connessi dei veicoli.Le informazioni esposte includevano nomi, indirizzi e-mail, numeri di telefono e dettagli sulle abitudini quotidiane degli utenti, come località visitate frequentemente.
Tra i modelli coinvolti figurano veicoli popolari come Volkswagen ID.3 e ID.4, oltre a quelli di altri marchi del gruppo come Audi, Seat e Škoda. Particolarmente rilevante è stato il caso della deputata tedesca Nadja Weippert, i cui spostamenti dettagliati sono stati monitorati, sollevando preoccupazioni sulle implicazioni per la sicurezza delle figure pubbliche. Il gruppo Volkswagen, avvisato dall’associazione Chaos Computer Club, ha dichiarato di aver risolto il problema rapidamente, minimizzando l’accaduto. Tuttavia, la portata dell’evento e la mancanza di misure preventive adeguate sollevano dubbi sulla capacità dell’azienda di proteggere i dati in un’epoca di crescente digitalizzazione.
InfoCert e la sottrazione di 5 milioni di dati
Un altro grave incidente ha coinvolto InfoCert, uno dei principali gestori dello Spid in Italia. Oltre 5,5 milioni di dati personali, inclusi 1,1 milioni di numeri di telefono e 2,5 milioni di indirizzi e-mail, sono stati rubati e messi in vendita sul dark web. L’azienda ha precisato che i dati sottratti appartengono a un fornitore terzo, utilizzato per gestire le richieste di assistenza clienti, e che i sistemi di InfoCert non sono stati direttamente compromessi.
Nonostante l’assicurazione che password e credenziali di accesso ai servizi di identità digitale non siano state esposte, la sottrazione di dati personali rappresenta un rischio significativo. Con tali informazioni, è possibile mettere in atto tentativi di phishing mirati, sfruttando la fiducia degli utenti per ottenere ulteriori dati sensibili. Secondo quanto trapelato, l’attacco è stato facilitato da vulnerabilità note in un sistema di gestione ticketing basato su PHP e database SQL. Queste vulnerabilità non adeguatamente corrette avrebbero permesso l’accesso al database attraverso tecniche di SQL injection.