Identificata violazione dei dati

Lo scorso settembre, DFDS A/S ha scoperto una violazione della privacy riguardante i dati dei clienti. Riteniamo che il rischio di conseguenze negative per i nostri clienti sia basso, ma dato l'aumento generale dei tentativi di spear phishing, informiamo i nostri clienti di questo incidente, in modo che possano adottare le dovute precauzioni.

Tutti i clienti che potrebbero risultare coinvolti nella violazione dei dati saranno direttamente contattati a gennaio.

Informazioni sull'accaduto

Il 6 settembre 2023, è stato individuato un file di configurazione disponibile via Internet. Il file di configurazione in sé non conteneva dati personali. Tuttavia, il file ha permesso di aggirare le misure di sicurezza implementate e di accedere a un database in un'applicazione web dove erano visibili i dati dei clienti. Non è stato comunque possibile alterare o manomettere i dati all'interno dell'applicazione web. Il file di configurazione è diventato disponibile in quanto lo sviluppo dell'applicazione è avvenuto al di fuori dei sistemi informatici e delle procedure consolidate di DFDS. L'errore è stato immediatamente corretto e l'accesso esterno è stato pertanto chiuso.

Quali dati sono risultati coinvolti

Il database colpito conteneva elenchi di indirizzi con il nome del cliente, il numero di telefono aziendale e l'indirizzo e-mail aziendale. Inoltre, conteneva un elenco di dati relativi alle fatture, tra cui il numero di fattura, la data di scadenza, l'importo e l'accesso all'e-mail inviata al cliente in formato HTML.

Come abbiamo reagito fino ad ora

Quando è stata scoperta la violazione, gli accessi esterni all'applicazione sono stati immediatamente chiusi. Inoltre, l'Agenzia danese per la protezione dei dati1 è stata informata dell'incidente.

Quale può essere l'impatto sui clienti interessati

Riteniamo che il rischio di esposizione per i nostri clienti sia basso, ma poiché i dati potrebbero essere utilizzati per lo spear phishing, che attualmente è una tendenza in aumento nei tentativi di hacking, desideriamo informarvi dei rischi potenziali, in modo che possiate prendere le dovute precauzioni.

Se avete domande o dubbi su quanto accaduto o desiderate ulteriori informazioni, siete invitati a contattare il nostro team GDPR all'indirizzo gpdr@dfds.com

La privacy dei nostri clienti è una delle nostre principali priorità. Ci adoperiamo al massimo per garantire la sicurezza di tutti i dati. Nella fattispecie, un database si è trovato al di fuori della nostra configurazione IT consolidata e non siamo quindi riusciti a proteggere la privacy dei nostri clienti: questo non è accettabile. Ci scusiamo per l'accaduto, ma vi assicuriamo che stiamo adottando tutte le misure necessarie per garantire che incidenti di sicurezza dei dati come questo non si ripetano.

Proteggersi dallo spear phishing

Un tipico attacco di spear phishing viene spesso inviato a poche persone selezionate all'interno di un'azienda, solitamente via e-mail. L'e-mail si presenta come un'e-mail formale e tenta di estorcere un pagamento per una fattura precedente o contraffatta. Potrebbe anche avere l'obiettivo di indurre la persona presa di mira a fornire ulteriori informazioni, ad esempio il nome utente o la password, attraverso dei link forniti nell'e-mail.

Per proteggersi dallo spear phishing:
  • Prestate particolare attenzione alle e-mail relative a pagamenti o fatture.

  • Non utilizzate l'indirizzo e-mail o il numero di telefono forniti nell'e-mail perché potrebbero essere un tentativo di spear phishing. Utilizzate le informazioni di contatto di cui già disponete.

  • Prestate attenzione alle e-mail e alle telefonate di persone che richiedono i vostri dati (in particolare dati come la data di nascita, l'indirizzo di residenza, l'indirizzo e-mail, il nome utente o la password, che spesso vengono utilizzati per verificare la vostra identità).

In caso di dubbio, non esitate a contattare direttamente il vostro referente DFDS via e-mail o telefono, per ottenere una conferma al riguardo.