Il Data breach colpisce la catena alberghiera Hilton Worldwide
Il giornalista di Cybersecurity Brian Krebs, citando diverse fonti di istituti bancari, riporta sul suo blog Venerdì 25 Settembre 2015 che è stato scoperto un pattern di frode per le carte di credito utilizzato dai POS (point-of-sale) di negozi e ristoranti di “numerosi Hotel Hilton e collegate in franchising.”
In una dichiarazione NBC News, rilasciata nel pomeriggio del 25 Settembre 2015, un portavoce di Hilton Worldwide afferma che il gruppo ne è al corrente.
“Hilton Worldwide è fortemente impegnata nella protezione delle informazioni relative alle carte di credito dei suoi clienti. Abbiamo molti sistemi attivi e lavoriamo con alcuni trai i maggiori esperti del campo per affrontare la data security. Sfortunatamente le possibilità di attività fraudolente, inerenti le carte di credito, è fin troppo comune per ogni azienda nel mercato attuale “, dice la nota. “Prendiamo qualsiasi potenziale problema molto seriamente, e stiamo esaminando la questione.”
Ieri, 24 Novembre 2015, Hilton Hotels and Resorts riporta sul suo sito che alcuni dei suoi POS sono stati compromessi, alcuni potenzialmente fin dal novembre 2014.
“Abbiamo stabilito che le informazioni della carta di credito potrebbe includere i nomi dei titolari, i numeri delle carte, i codici di sicurezza e le date di scadenza, ma non gli indirizzi o i numeri di identificazione personale (PIN)”.
Tuttavia, i dati esposti potrebbero consentire agli aggressori di creare carte false e fare acquisti on-line, per telefono o per corrispondenza!
Come misura precauzionale, il gruppo alberghiero ha consigliato ai clienti di verificare e monitorare i movimenti delle proprie carte di credito, qualora abbiano utilizzato una carta di credito in un hotel Hilton Worldwide tra il 18 novembre e il 5 dicembre 2014, e tra il 21 aprile e il 27 Luglio 2015.
Se confronto questo caso con il nuovo regolamento europeo sulla Privacy, in merito al data breach disclosure, penso ad alcuni punti deboli:
– Sono passate ben più di 72 ore tra la scoperta della violazione dei dati e l’informativa ai clienti
– La violazione dei dati è durata più di un anno ed è stata scoperta da terzi; quindi le misure in vigore non erano adeguate
– La comunicazione non indica le misure implementate preventivamente né quelle adottate per ridurre il danno
… e forse ci sono altri punti deboli, ma questi sono sufficienti!