Apple si fa "rubare" 274mila nomi

L’esfiltrazione dei dati scoperta da un hacker etico. Indaga il Garante della Privacy

Segui Il Giornale su Google Discover

Scegli Il Giornale come fonte preferita

La società più sicura del mondo si fa «rubare» i dati dei suoi 270mila (e rotti) dipendenti. È un data breach clamoroso quello che avrebbe subito Apple e su cui potrebbero presto accendersi i fari del nostro Garante della Privacy: 400 pagine (nella foto) di contatti, mail, indirizzi personali aziendali, numeri di telefono. A scoprirlo alla fine del mese di aprile è stato l'hacker etico Andrea Mavilla, a capo del team cybersecurity di Canale-Group. «Ho immediatamente avvisato Apple attraverso il portale ufficiale Apple Security Research, aprendo una segnalazione formale e collaborando con il team Product Security nel pieno rispetto delle procedure e della tutela della privacy», dice Mavilla al Giornale, molto sorpreso dalla scoperta online di «una così ampia aggregazione di dati associati all'ecosistema Apple, comprendente centinaia di migliaia di contatti tra management, personale corporate, engineering e retail», peraltro ancora disponibili online. Sappiamo ad esempio che (dati di ieri) i dipendenti di Apple sono esattamente 274.081 divisi in 18.934 seniors, 49.495 managers, 5.025 directors eccetera. Nel database ci sono anche i numeri di telefono di Danilo Belloni, numero uno di Apple Italia, Marco Conte, management Apple Italia ma anche di Peter Murphy, senior leadership Apple e del Ceo John Ternus. Tutti avvisati del potenziale data breach: «Era il mio dovere come professionista della cybersecurity e della responsible disclosure». Se finisse in mani sbagliate, questo database potrebbe essere utilizzato «per attività di phishing avanzato, social engineering, impersonificazione e targeting mirato nei confronti di personale Apple e figure strategiche dell'azienda», tanto che Mavilla avrebbe più volte sollecitato i vertici italiani e no di Apple a porvi rimedio, inutilmente. «Ad oggi, tuttavia, i dati risultano ancora presenti negli ambienti nei quali erano stati originariamente individuati», sottolinea l'hacker etico, che avrebbe già segnalato la vicenda al Garante della Privacy. Da fonti della stessa Autorità sappiamo che, nonostante lo preveda la legge, il data breach non sarebbe stato regolarmente denunciato allo stesso Garante entro 72 ore. È la stessa cosa avvenuta per il commercialista di Report Gian Gaetano Bellavia, che al Fatto ha ammesso di aver volutamente sorvolato su questa segnalazione. Una mancanza che però, ricordano le fonti del Garante, costa caro perché la segnalazione serve a tutelare la privacy delle vittime dell'esfiltrazione, non di chi ha subito il furto.