Cina: un hacker ruba i dati personali di oltre un miliardo di cittadini
Un hacker ha dichiarato di avere sottratto informazioni personali di un miliardo di cittadini cinesi da un database della polizia di Shanghai, in quella che si profila come una delle maggiori violazioni di dati della storia. L'anonimo pirata informatico, che si identifica come "ChinaDan", ha postato la settimana scorsa sul forum di hacker "Breach Forums" l'offerta di vendita dei dati per dieci bitcoin, equivalenti a circa 200 mila dollari. Nei 23 terabyte di informazioni sottratte, che sembrano provenire da diverse fonti, sono contenuti, nomi, indirizzi, date di nascita, numeri dei documenti di identità, numeri telefonici e dettagli di rilevanza penale, secondo quanto postato dallo stesso pirata informatico. L'altissimo numero di cittadini cinesi di cui sarebbero stati violati i dati ha generato qualche scetticismo tra gli esperti sulla veridicità di quanto affermato dal misterioso pirata informatico, ma il problema della gestione dei dati è fortemente sentito in Cina, che ha varato misure per
Videosorveglianza: nel 92% dei casi le telecamere violano normativa sulla privacy
Uno studio realizzato da Federprivacy in collaborazione con Ethos Academy rivela che solo nell’8% dei casi i cittadini che entrano in un esercizio pubblico dotato di videosorveglianza trovano esposto un regolare cartello. Ammonta a oltre 4 milioni di euro il valore delle sanzioni per violazioni del GDPR dovuto a non conformità delle telecamere installate, il primato alla Spagna. Sono meno della metà i progettisti e gli installatori che si rendono conto dei reali rischi sulla privacy e del pericolo sanzioni. A quattro anni dall’entrata in vigore del GDPR, le città italiane sono sempre più smart, ma gli occhi delle telecamere disseminate ormai ovunque non sono troppo rispettosi della privacy dei cittadini. Infatti, nel 92% dei casi i sistemi di videosorveglianza non risultano rispettare il Regolamento Ue sulla protezione dei dati personali. Ad evidenziarlo è un’indagine condotta da Federprivacy in collaborazione con Ethos Academy su un campione di circa 2.000 individui, da cui
Milioni di numeri WhatsApp di utenti italiani in vendita nel Dark Web.
Gli esperti del forum di cybersecurity Red Hot Cyber hanno trovato diversi milioni di numeri di telefono e account Whatsapp di utenti italiani in vendita nel Dark Web sul noto forum underground BreachForums. Partendo da un post in cui i cyber criminali proponevano una lista di un milione di numeri di utenti delle Filippine, i ricercatori hanno contattato uno dei venditori chiedendo se fosse in possesso anche di dati riguardanti numeri italiani, e la risposta è stata che era disponibile un database di 50 milioni di numeri, praticamente quasi tutti gli utenti di Whatsapp nel nostro paese. Di questi, ben 20 milioni di numeri telefonici sarebbero associati ai rispettivi nominativi degli abbonati. La correlazione tra nomi e numeri di telefono renderebbe possibile risalire ai contatti di utenze riservate di politici, giornalisti, e attivisti, e gli usi che ne potrebbero essere fatti comprendono truffe telefoniche, phishing e altri tipi di frode ed estorsioni. Il prezzo richiesto
La gestione dei supporti di memorizzazione: le indicazioni dalla Linea Guida ISO
La ISO/IEC 27001:2022 affronta il tema della gestione dei supporti contenenti dati attraverso numerosi controlli (8.3.1, 8.3.2, 8.3.3 e 11.2.5). Il tema che ha rilevanti implicazioni sulla protezione dei dati personali. Indicazioni, di carattere operativo che, possono essere considerate misure di accountability, sono contenute nella ISO/IEC 27002:2022 e specificatamente nel controllo 7.10 “Storage Media” - Supporti di memorizzazione. Ovviamente le indicazioni relative alla gestione dei supporti non si limita a quelli elettronici (es. HD, dischi esterni, nastri di back-up, supporti contenenti dati biometrici), ma deve essere estesa anche a quelli cartacei e più in generale a ogni forma di supporto contenente dati. Il controllo 7.10 della ISO/IEC 27001:2013 - Il controllo 7.10 “Storage media” - Supporti di memorizzazione, prevede, in sintesi, che i supporti di memorizzazione siano gestiti nel corso di tutto il loro ciclo di vita - acquisizione, utilizzo, trasporto e smaltimento - in modo congruente con il livello di classificazione delle informazioni
Aggiornamento NextWare Pro 2.9.9.99
Rilasciato il nuovo aggiornamento del NextwarePro, il sistema di gestione sviluppato per il Non Profit e con il Non Profit. Gestione e import donazioni Con la release precedente era stata rilasciata la possibilità di associare degli eventi alle campagne di raccolta; da questa release è possibile associare ad ogni donazione anche l’evento collegato alla campagna. Al tempo stesso è possibile associare anche il testo che si vorrà poi utilizzare per il ringraziamento. Entrambe le informazioni possono essere inserite sia nella gestione manuale che nell’import delle donazioni. Stampa elenco donazioni E’ stata inserita una nuova opzione di stampa che espone l’elenco dei soggetti per i quali sono stati emessi bollettini nel periodo ed il riscontro con le donazioni ricevute. Ricerca parametrica Nella ricerca parametrica è ora possibile utilizzare la nota della donazione, l’evento della campagna e il testo del ringraziamento per filtrare le donazioni. E’ stata introdotta inoltre una nuova casella di selezione da spuntare i soggetti
La gestione efficace dei Data Breach passa anche attraverso il monitoraggio dei ‘segnali deboli’
Il tema del data breach ha assunto un’importanza crescente negli ultimi anni ed è ampiamente dibattuto. In questo articolo si esplora la problematica della differenza del concetto di data breach, come inteso dal Regolamento UE 2016/679 (GDPR), dalla ISO 27701:2019 e dalla ISO 27001:2013. Sono visioni non coincidenti, anche se in gran parte sovrapponibili, e da esse emergono spunti che ci permettono di migliorare la procedura di gestione di tali eventi. Le definizioni - La ISO/IEC 27001:2013 - Sistemi di gestione della sicurezza dell'informazione – Requisiti -, mira alla tutela dell'organizzazione relativamente alla sicurezza delle informazioni. Il requisito 6.1.3 “Valutazione del rischio relativo alla sicurezza delle informazioni” considera la riservatezza, integrità e disponibilità delle informazioni e considera gli impatti sull'organizzazione in caso di perdita di tali attributi. Il Regolamento UE 2016/679, così come la ISO/IEC 27701:2019 - Estensione a ISO/IEC 27001 e ISO/IEC 27002 per la gestione delle informazioni in ambito privacy - Requisiti e linee guida -
Le app possono mettere a rischio la riservatezza dei nostri dati personali. I consigli per tutelare la privacy
Le applicazioni per smartphone, Tablet, smart watch, ecc. (c.d. “app”) sono divenute parte integrante della nostra vita al punto che trovare, oggi, qualcuno che non abbia mai avuto a che fare con un “app” è sicuramente un’impresa ardua. Questa diffusione e massivo utilizzo delle app non è però scevro da rischi privacy. Infatti, come evidenziato dall’Autorità Garante i servizi che offrono (consultazioni home banking, monitoraggio delle condizioni di salute, controllo domotico delle nostre abitazioni, gestione video e fotografie, prenotazione viaggi, ecc,) possono mettere a rischio la riservatezza dei nostri dati personali. Per queste ragioni nella gestione delle app è opportuno adottare alcuni semplici ma efficaci accorgimenti. In primis, prima di effettuare il download dallo store è bene capire quali dati personali tratterà l’app prescelta e accedere all’informativa privacy del fornitore. Proprio quest’ultimo elemento è importante perché dalla chiarezza, trasparenza e completezza dell’informativa (articoli 12 e 13 Regolamento UE 2016/679) possiamo trarre il primo
Il registro dei visitatori: un trattamento di dati personali spesso non considerato
In moltissime aziende è prevista la registrazione all’ingresso dei visitatori, siano essi clienti, manutentori esterni, addetti al vending, consulenti, rappresentanti di fornitori, candidati alla selezione, ecc. La registrazione è di norma svolta su supporti cartacei; le realtà più grandi dispongono invece di soluzioni elettroniche; in ogni caso molto raramente tale registrazione è gestita come un trattamento. In questo articolo si vogliono approfondire le implicazioni connesse a tale documento, con la consapevolezza che nelle aziende sono presenti situazioni molto variegate. Il registro dei visitatori - Il registro visitatori in genere riporta: nome e cognome del visitatore, il ruolo/società di appartenenza, la funzione/persona con la quale deve conferire, la data e l’orario di ingresso, l’orario di uscita e, quando previsto, il numero di badge che gli viene fornito; in molti casi è prevista anche la firma in entrata ed in uscita. Talvolta è richiesta la verifica dell’identità del visitatore, ad esempio tramite un documento,
Sanzione per Google per mancato rispetto del diritto all’oblio di alcuni interessati
Una pesante sanzione da 10 milioni di euro è stata inflitta a Google da parte dell'autorità per la protezione dei dati personali spagnola (AEPD), che ha contestato al colosso di Mountain View due infrazioni "gravissime" per aver "ceduto illecitamente dati a terzi “e ''ostacolato il diritto all’oblio dei cittadini''. A renderlo noto è lo stesso garante con un comunicato stampa diramato lo scorso 18 maggio. La sanzione è stata originata da due denunce pervenute all’autorità iberica nel periodo tra settembre e ottobre del 2018, nelle quali cui Google veniva accusato di aver raccolto i dati delle persone che compilavano il modulo online per chiedere la non indicizzazione dei contenuti che li riguardano, inviandoli a un database del progetto Lumen dell'Università di Harvard, dove poi venivano diffusi online, ulteriore trattamento di dati personali che peraltro non era neppure menzionato nell’informativa privacy di Google. In pratica, anziché rispettare la volontà degli utenti che chiedevano che i
La dismissione dei componenti hardware a norma di Gdpr
Un aspetto spesso trascurato afferente alla protezione dei dati riguarda la dismissione (decommissioning) dei componenti hardware, siano essi di proprietà dell’azienda o, come spesso avviene, noleggiati. In questo articolo vogliamo approfondire alcuni aspetti organizzativi, considerando che i supporti elettronici, indipendentemente dalla presenza di dati, devono essere smaltiti secondo quanto previsto dal Decreto Legislativo 49/14 modificato dal Decreto Legislativo 118/2020. Smaltire hardware al termine del loro ciclo di vita (EOL). La dismissione dell’HW ha alla base molteplici motivazioni: - necessità di disporre di sistemi informativi più performanti in linea con le politiche di sviluppo delle organizzazioni; - il caso in cui l’HW non possa più essere adeguatamente aggiornato, via via che vengono identificate nuove vulnerabilità o minacce alla sicurezza, ovvero quando l'uso di controlli (es. la segregazione da altre risorse informative) non è un'opzione praticabile. In termini generali, devono essere stabiliti processi e politiche, documentati attraverso procedure, per l'uso e lo smaltimento sicuro delle apparecchiature mantenute