Eataly, la catena di distribuzione e vendita di prodotti alimentari italiani nota in tutto il mondo, è rimasta vittima di un cyberattacco. Secondo quanto riportato in una comunicazione inviata dalla stessa compagnia ai suoi clienti, l'infrastruttura dell'ecommerce è stata presa di mira dai criminali informatici, che potrebbero essere così entrati in possesso dei dati personali di decine e decine di consumatori. “Alla luce delle verifiche svolte con i nostri partner di cybersecurity, sebbene non risulti un download dei dati, è possibile che questo attacco abbia esposto i dati personali (anagrafici / di contatto) presenti nel suo account (come nome, cognome, data di nascita, codice fiscale, indirizzi e recapiti) e i dati degli acquisti effettuati”, chiarisce Eataly nella sua comunicazione, rassicurando gli utenti sulle informazioni relative ai metodi di pagamento, che non vengono registrate dal sistema proprio per garantirne la tutela della sicurezza e della privacy.Al sicuro anche, secondo quanto confermato dalla compagnia, le password associate agli account, memorizzate “con tecniche di cifratura avanzata” che non permettono ai cybercriminali di visionarle in chiaro. Il problema, quindi, sembra riguardare esclusivamente i dati personali dei clienti Eataly, non cifrati nel modo corretto. E, quindi, alla mercè dei malintenzionati.I dati non cifrati mettono a rischio gli utentiLa scelta di non ricorrere a una corretta cifratura dei dati personali dei clienti Eataly espone questi ultimi a un rischio tutt'altro che da sottovalutare: una volta che i cybercriminali riescono a intrufolarsi nei sistemi aziendali, possono agire come meglio credono, rubando quei dati e utilizzandoli per mettere in piedi truffe e attacchi di ogni genere. “Quando un'azienda sceglie cosa cifrare e cosa no, sta implicitamente decidendo cosa considera accettabile perdere in caso di violazione. Un codice fiscale associato a un indirizzo e a uno storico acquisti non è un dato neutro: è un profilo. Con quel profilo si costruiscono messaggi di phishing personalizzati, si aprono linee di credito fraudolente, si alimentano truffe che durano mesi - chiarisce Valerio Pastore, Founder di CyberGrant Inc., società attiva nel settore della sicurezza informatica - Quando un attaccante entra con credenziali compromesse, con una vulnerabilità nell'infrastruttura di un fornitore, con qualsiasi tecnica che superi il confine, il perimetro cessa di esistere. A quel punto, ciò che determina la gravità dell'incidente è lo stato in cui si trovano i dati: se sono in chiaro, il danno si propaga in ore; se sono cifrati nativamente, la violazione resta contenuta”. Il nocciolo della questione, quindi, non sta tanto nella capacità dei criminali informatici di penetrare nell'infrastruttura dell'e-commerce Eataly, quanto piuttosto dall'assenza di cifratura sui dati personali dei clienti, che rischia ora di metterne seriamente a rischio la sicurezza.Il precedente di Booking.comIl caso di violazione dei dati di Eataly non è affatto isolato. Lo scorso aprile, infatti, è stato Booking.com a finire nel mirino dei criminali informatici, che hanno così avuto la possibilità di mettere le mani su alcuni dei dati degli utenti collegati alle prenotazioni, tra cui email, indirizzi di residenza/domicilio e numeri di telefono. Tra le informazioni rimaste al sicuro, proprio come accaduto nel caso di Eataly, ci sono tutte quelle riguardanti i metodi di pagamento, adeguatamente protette da occhi e mani indiscrete. Pertanto, questo significa che i criminali informatici possono utilizzare dati di questo tipo solo per mettere in piedi truffe indirizzate agli stessi clienti o, nei casi più gravi, furti di identità. Un rischio che, pur non essendo così elevato, merita comunque di essere considerato dai colossi del settore commerciale.