Cos’è un «data breach»? Un orientamento al lessico del «dizionario digitale»

LEGGI ANCHE > Data breach Disqus, violati 3,7 milioni di indirizzi email e password

Sono stato vittima di «data breach»: cosa devo fare

Arriviamo dritti al punto: un data breach è la violazione di una base di dati che contiene informazioni di ogni tipo. È chiaro? Facciamo subito un esempio: un gruppo di hacker poco etici decide di attaccare – attraverso un cyber attacco – non la tua mail, non il tuo account Instagram, non la tua posta elettronica, ma direttamente l’archivio digitale in cui sono registrate – oltre alle tue informazioni – anche quelle di altre centinaia di migliaia di persone.

Ma con quale obiettivo? L’obiettivo di chi attacca è quello di utilizzare quelle informazioni raccolte come punto di partenza per la raccolta di dati ancora più importanti: grossi cambiamenti istituzionali, vendite di quote societarie, spoiler su progetti governativi. E attaccano i singoli perché, logicamente, è più facile che hackerare un’università o un’agenzia governativa. Attaccano i figli per colpire i padri, il contabile per arrivare all’amministratore delegato, lo studente per arrivare al rettore.

Poi, non è detto che quelle informazioni estrapolate servano agli hacker sul breve termine, ma un account compromesso oggi potrà essere usato domani. Se state pensando che l’unico modo per evitare di finire vittime di un data breach sia quello di alienarsi da questo mondo sempre più digital, spegnere il proprio cellulare e seguire le orme di San Francesco, vi fermiamo subito. Non ci sembra la strada giusta (con tutto il rispetto per San Francesco).

Perché in realtà esistono dei modi per proteggere i propri dati personali e i database che li contengono; così come esistono le possibilità per sviluppare una cultura della sicurezza a ogni settore della società.

Cosa c’entra il GDPR con il Data Breach?

Ma se invece succede di finire vittima di un data breach, cosa bisogna fare? Se sono un utente-vittima qualsiasi: aggiornare tutte le mie password e diversificarle ad ogni nuova iscrizione può essere già un buon punto di partenza. Se invece sono un’azienda – il cui archivio è stato preso di mira – è di primaria importanza comunicare in maniera sincera e onesta l’accaduto a tutti i coinvolti.

La sincerità e l’onestà non sono i soli due aspetti per cui le aziende sono tenute a comunicare tempestivamente di esser state vittime di data breach. C’è qualcosa di molto più concreto di due valori astratti a cui, se fossero il solo motivo, molte aziende si sottrarrebbero senza troppi sensi di colpa.

Stiamo parlando del GDPR: il regolamento europeo sulla protezione dei dati che – con l’entrata in vigore dal maggio 2018 – obbliga le aziende a notificare il data breach entro 72 ore, e a tutti gli interessati se la violazione mette a rischio dei diritti fondamentali.

«Ok, ho capito cos’è, ma fammi un esempio»

Le notizie di data breach sono all’ordine del giorno e noi di Giornalettismo siamo sempre pronti a parlarne, per fare chiarezza, per dovere di cronaca, per far brech-a nel cuore del problema che ha determinato l’attacco. Potremmo stilare un elenco lunghissimo ma l’archivio della nostra testata online ci viene incontro e potete trovare tutte le notizie sul data breach in una sola pagina: quello alla SIAE, a Tim, alla San Carlo.

Qui, invece, riportiamo il più eclatante che, non a caso, è stato definito Data Breach Compilation: un miliardo e 400 milioni di nomi, email e password in chiaro. Tutto in un unico database messo a disposizione in un forum del deep web. È il più grande archivio di dati personali della storia di Internet.