È una delle più imponenti violazioni di dati conosciute quella che ha colpito Marriott, colosso mondiale del settore alberghiero. Il gruppo americano, con sede a Bethesda, nel Maryland, ha dichiarato in una nota di aver subìto una perdurante offensiva informatica che avrebbe messo a rischio negli anni, si stima dal 2014, le informazioni personali di oltre 500 milioni di clienti.
LE INFORMAZIONI A RISCHIO
Tra i dati rubati – sebbene le indagini interne non siano ancora concluse e i media Usa riportino che il procuratore generale di New York ha aperto un’inchiesta sul caso – figurerebbero nomi, indirizzi, numeri di telefono, e-mail, numeri di passaporto, date di nascita, sesso, arrivo e partenza, data di prenotazione, dati delle carte di credito (protetti, ha tranquillizzato l’azienda, da una autenticazione a due fattori) e tanto altro presente nel database degli Starwood Hotels & Resorts di proprietà del colosso dal 2016.
HOTEL NEL MIRINO DEGLI HACKER
Marriott non è ancora riuscita a stimare l’impatto finanziario dei data breach, ma il trend è chiaro: negli ultimi anni anche gli hotel sono entrati a far parte delle aziende più colpite da attacchi hacker, specialmente per quanto concerne il furto di dati sensibili.
UNA VIOLAZIONE IMPONENTE
L’hack che ha colpito la compagnia alberghiera, rilevano gli esperti, potrebbe essere la più grande mai resa nota finora dopo quella a Yahoo nel 2013. L’attacco non solo presenta dimensioni enormemente preoccupanti, ma anche il livello dei dettagli sottratti sarebbe piuttosto sensibile. Oltre ad aver portato a una sofferenza in borsa, la violazione potrebbe costare all’azienda – che si è scusata e ha annunciato nuovi investimenti in cyber security – un’ammenda significativa da parte delle autorità.
IL COMMENTO DI GIUSTOZZI
Per Corrado Giustozzi, esperto di sicurezza cibernetica presso l’Agenzia per l’Italia Digitale (AgID) per lo sviluppo del Cert della Pubblica amministrazione “ci troviamo di fronte a un fenomeno durato quattro anni, una vera e propria infiltrazione, ovvero un’attività capillare e sistematica di infiltrazione nella rete”. La cosa che colpisce di più “di questa fuga di dati colossale”, rileva Giustozzi, “è che non ci troviamo di fronte a una sola tipologia di dati rubati, bensì a interi furti di identità. Nel cyber spazio, l’identità non è constatabile fisicamente ma attraverso una serie di documenti, dati e numeri che alla fine combaciano tra di loro. Rubando non solo dati delle carte di credito, ma anche passaporti comprensivi di numero e fotografia, chi è ora in possesso di questi dati può facilmente fingersi un’altra persona ed elaborare truffe di livello sofisticato”. Il breach, inoltre, conclude l’esperto, “ha colpito una catena che lavora soprattutto negli Stati Uniti e in Europa, quindi aspettiamoci anche ripercussioni a livello legale, in quanto i garanti europei vorranno sapere come erano protetti quei dati e se l’azienda debba rispondere di violazione del Gdpr. Anche se si trattasse di database americani, i dati dei viaggiatori europei sono protetti dalla direttiva europea, quindi senza dubbio se venisse accertata la responsabilità della catena, la multa sarebbe molto salata”.