Una violazione dei dati in un produttore di apparecchiature per eventi dal vivo rivela i dati personali e finanziari dei dipendenti
La scorsa settimana, TAIT Towers Manufacturing LLC, un produttore di apparecchiature per eventi dal vivo e concerti che ha lavorato con artisti del calibro di Lady Gaga e Taylor Swift, ha rilasciato una di quelle dichiarazioni in cui deve spiegare come prende molto sul serio la sicurezza dei dati. Come molti di voi probabilmente sanno, le aziende lo fanno solo dopo aver subito una violazione dei dati.
L'attacco ha avuto luogo circa quattro mesi fa a febbraio, ma la società non è venuta a conoscenza fino al 6 aprile. Dopo essere stata informata della violazione, ha immediatamente avviato un'indagine, che è ancora in corso. Tuttavia, TAIT è stato così gentile da condividere con noi (e le persone direttamente colpite dall'attacco) l'accaduto.
Table of Contents
Gli hacker hanno compromesso un server TAIT e gli account e-mail dei dipendenti
Il 16 febbraio, una parte non autorizzata ha compromesso uno dei server TAIT e gli account e-mail di alcuni dipendenti dell'azienda. Una volta dentro, gli hacker hanno avuto accesso a molti dettagli personali del personale TAIT, inclusi nomi, indirizzi fisici ed e-mail, date di nascita, numeri di previdenza sociale e numeri di conti finanziari. TAIT ha chiuso la violazione, ha assunto una società di sicurezza informatica per aiutare nelle indagini e ha iniziato a lavorare su misure di attuazione per garantire che incidenti simili non si verifichino in futuro.
La società è fermamente convinta di non aver visto prove di uso improprio dei dati, ma per essere al sicuro, è pronta a fornire ai dipendenti interessati servizi gratuiti di protezione dai furti di identità. La dichiarazione fornisce molti dettagli su ciò che le persone devono fare per accettare TAIT su quell'offerta.
Mancano troppi pezzi del puzzle
Come abbiamo già detto, le indagini sono ancora in corso, il che suggerisce che anche TAIT non ha ancora un quadro completo. Detto questo, nella dichiarazione della scorsa settimana mancano così tanti dettagli, che il numero di domande sollevate supera quello delle risposte.
Non sappiamo, ad esempio, quanti account e-mail sono stati attaccati. Non ci sono nemmeno informazioni sul numero di dipendenti interessati e non sappiamo nemmeno se l'attacco abbia preso di mira persone in una regione specifica o se abbia colpito gli uffici di TAIT in tutto il mondo. Il metodo utilizzato dagli hacker per compromettere i sistemi IT di TAIT è anche sconosciuto, il che significa che è difficile dire quanto siano sofisticati gli avversari e quanto possano essere gravi le conseguenze. Questo non è l'unico problema.
A proposito di quella dichiarazione “prendiamo molto sul serio la sicurezza”
Le aziende vengono spesso criticate per aver fornito le loro notifiche di violazione dei dati con una frase bollata che non fa un ottimo lavoro nel convincere le persone che l'organizzazione attaccata "prende molto sul serio la sicurezza". L'affermazione in realtà non apporta alcun valore alla notifica e, in alcuni casi, sembra assolutamente vuota.
Ad esempio, i responsabili della sicurezza di TAIT hanno avanzato lo stesso reclamo, ma non sono riusciti a garantire che il sito Web della società si caricasse per impostazione predefinita in HTTPS. Si sono anche vantati del sistema di autenticazione a più fattori che hanno introdotto. L'autenticazione a più fattori esiste da anni e si è dimostrata il modo più semplice per garantire una migliore protezione dei dati. Data la sensibilità e il volume dei dati che TAIT sta gestendo, la società avrebbe probabilmente dovuto pensare a implementarlo prima dell'attacco informatico piuttosto che dopo.
Tutto sommato, la notifica di violazione di TAIT dimostra che dire che prendi sul serio la sicurezza è più facile che farlo davvero.
