Data breach Volkswagen: cosa imparare dall’ennesimo attacco alla supply chain - Cyber Security 360

L'ANALISI TECNICA

Data breach Volkswagen: cosa imparare dall’ennesimo attacco alla supply chain

Audi e Volkswagen hanno subito un data breach che ha interessato 3,3 milioni di clienti statunitensi: la violazione dei dati è avvenuta dopo che un fornitore ha esposto informazioni non protette su Internet. Un altro caso di attacco alla supply chain. Ecco i dettagli e quale lezione per tutte le aziende

14 Giu 2021
Paolo Tarsitano

Editor Cybersecurity360.it

Volkswagen Group of America (VWGoA), filiale nordamericana del gruppo Volkswagen e responsabile delle operazioni statunitensi e canadesi per Volkswagen, Audi, Bentley, Bugatti, Lamborghini e VW Credit, è rimasta vittima di un data breach che ha esposto i dati personali di 3,3 milioni di clienti.

La violazione è avvenuta dopo che un fornitore esterno del gruppo ha esposto su Internet dati non protetti.

Il data breach Volkswagen è dunque l’ennesimo caso di attacco alla supply chain che ha colpito una grande azienda sfruttando le vulnerabilità di un piccolo fornitore. Un altro episodio (come avvenuto in passato per Apple e Verkada) che ci ricorda come il rischio per le nostre aziende arriva sempre più spesso dalle “terze parti” che rappresentano l’anello debole nella catena di fornitura.

“La violazione di dati di cui è vittima il gruppo automobilistico evidenzia ancora una volta la criticità della gestione dell’intera catena del valore di un’impresa”, sottolinea Pierluigi Paganini, Cyber Security Analyst e CEO CYBHORUS.

“Attacchi alla supply chain”, continua Paganini, “possono avere gravi ripercussioni sulle aziende e sull’intero settore in cui operano. Per questo motivo è essenziale che vengano analizzati, da parte delle aziende, i livelli di sicurezza implementati dai relativi fornitori di servizi e si stabiliscano degli standard di riferimento in materia di cyber security e dei requisiti minimi che vanno soddisfatti da parte dei fornitori di terze parti”.

Ancora secondo l’analista, “il problema è particolarmente critico per tutte le imprese che operano in settori sensibili, come quello delle infrastrutture critiche in cui è essenziale l’adozione di misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi e alla prevenzione di incidenti informatici. Ricordiamo che la gestione del rischio relativo alla catena di approvvigionamento è uno dei principi cardini per le aziende incluse nel perimetro cibernetico nazionale”.

Data breach Volkswagen: cosa sappiamo

Dalle due differenti notifiche di violazione dei dati che Volkswagen ha depositato presso l’ufficio del procuratore generale della California e del Maine si evince che il fornitore ha lasciato esposti su Internet, tra agosto 2019 e maggio 2021, un database con le informazioni dei clienti raccolte dal 2014 al 2019 e relative prevalentemente (il 97%) a proprietari di modelli di autovetture Audi e di acquirenti interessati.

Volkswagen è venuta a sapere del data breach lo scorso 10 marzo e ha immediatamente avviato un’indagine sul caso con l’aiuto di consulenti esterni.

Successivamente, il 20 marzo, il fornitore ha confermato che una persona non autorizzata ha avuto accesso ai dati e potrebbe aver ottenuto le informazioni di clienti Audi, Volkswagen e di alcuni rivenditori autorizzati.

A quanto si sa finora, per la maggior parte dei clienti interessati dal data breach Volkswagen i dati esposti sarebbero relativi alle informazioni di contatto (nome e cognome, indirizzo postale personale o aziendale, indirizzo e-mail o numero di telefono), ma per molti la violazione avrebbe interessato i numeri della previdenza sociale e i dettagli sui prestiti per l’acquisto dell’automobile.

In altri casi, si legge ancora nelle notifiche depositate dal Gruppo Volkswagen, i dati includevano anche informazioni sul veicolo acquistato o noleggiato come il numero di identificazione del veicolo stesso (VIN), la marca, il modello, l’anno, il colore e i pacchetti di finiture interne.

Dall’analisi dell’archivio esposto su Internet, si è scoperto anche che alcuni dati includevano informazioni più sensibili relative all’idoneità per l’acquisto dell’auto, un prestito o un leasing, altre volte si trattava dei numeri della patente di guida e in pochi casi si trattava di date di nascita, numeri di previdenza sociale o di assicurazione sociale, numeri di conto corrente o altre informazioni fiscali.

Ai clienti, circa 90.000, che invece hanno avuto più dati personali e sensibili esposti al data breach, il Gruppo Volkswagen ha fatto sapere che offrirà servizi gratuiti di protezione del credito e un milione di dollari di assicurazione contro il furto di identità.

Consigli utili per tutelarsi da simili violazioni di dati

Il Gruppo Volkswagen ha già iniziato a notificare i clienti interessati dal data breach.

Dalle informazioni trapelate finora non si sa se i dati dei clienti esposti su Internet siano stati utilizzati in modo fraudolento.

Il consiglio, valido in questo caso ma applicabile comunque in tutti i casi di data breach, è quello di prestare la massima attenzione ad e-mail o telefonate sospette, ma anche a eventuali messaggi SMS relativi all’acquisto dell’automobile.

C’è da considerare, inoltre, che i dati personali dei clienti sono rimasti esposti su Internet per tanto tempo, per cui non è possibile sapere quante persone abbiano effettivamente ottenuto un accesso non autorizzato ad essi.

New call-to-action
@RIPRODUZIONE RISERVATA

Articolo 1 di 5