NEWSRISERVATEZZA DEI DATI

Altro guaio informatico per LUXOTTICA, ma stavolta ammette la gravità della situazione

In America i dati di clienti e pazienti sono diventati pubblici

Luxottica, atto terzo. Dopo il fastidioso “incidente informatico” del 21 settembre scorso (che quasi non c’era e – se mai avesse avuto luogo – era stato risolto magistralmente) e la storia dei dati finiti nel dark web, un altro episodio fa tornare a galla le falle nella sicurezza informatica dell’azienda.

Dopo aver immaginato Del Vecchio parafrasare il protagonista del Carosello dell’Olio Sasso alle prese con la pancia, e averlo quasi visto saltellare sul letto strillando “il problema non c’è più, il problema non c’è più”, ci tocca fare i conti con la dura realtà dei fatti e tornare su un tema che non sembra aver appassionato altre testate al di fuori di Infosec.News e Dagospia.

che altro è emerso?

Mentre da noi il silenzio regna sovrano, oltre oceano la divisione americana di Luxottica ha dovuto ammettere che un “data breach” (o arrembaggio digitale con relativo saccheggio) ha reso pubbliche una serie di informazioni personali riservate dei pazienti di una serie di catene di centri di cura oculistica come LensCrafter, Target Optical, EyeMed e PearlVision di cui il colosso degli occhiali è proprietario o partner.

Il gigantesco gruppo imprenditoriale – che commercializza i suoi prodotti con marchi come Ray-Ban, Oakley, Oliver Peoples, Ferrari, Michael Kors, Bulgari, Armani, Prada, Chanel e Coach – ha messo a disposizione dei punti vendita che erogano servizi di cura degli occhi l’accesso ad un’applicazione di pianificazione degli appuntamenti basata sul Web. Il comodissimo sistema, che consente ai pazienti di pianificare gli appuntamenti online o al telefono, sarebbe stato oggetto di un attacco informatico il 5 agosto 2020, attacco di cui l’azienda si sarebbe accorta solo quattro giorni dopo (non dimostrando particolare attenzione alla sicurezza dei propri sistemi tecnologici). Gli approfondimenti investigativi sull’accaduto – presumibilmente affidati alla Kroll –hanno permesso il successivo 28 agosto di prendere atto che gli hacker hanno effettivamente avuto accesso agli archivi elettronici in questione.

qual è stato il bottino dei malfattori?

L’arrembaggio virtuale può aver messo a repentaglio i dati anagrafici completi di ogni cliente (nome, cognome, luogo e data di nascita, indirizzo di casa, mail, numero di telefono…), giorno e ora degli appuntamenti per le visite, compagnia e numero di polizza assicurativa, medico curante, appunti terapeutici di vario genere (condizioni di salute, prescrizioni, procedure suggerite…).

Per alcuni pazienti sono stati scippati anche i numeri delle carte di credito utilizzate per i pagamenti e i codici di previdenza sociale.

cosa dice a questo proposito Luxottica of America Inc.?

Se un paziente è vittima di una indebita diffusione delle proprie informazioni di pagamento e di quelle di carattere sanitario, Luxottica offre un servizio gratuito di monitoraggio dell’identità di due anni affidato a Kroll.

Luxottica asserisce di non essere a conoscenza di alcun uso improprio delle informazioni personali o di danni ai pazienti riconducibili all’attacco informatico, ma ritiene opportuno incoraggiare le persone potenzialmente interessate a rimanere vigili. L’azienda consiglia a tutte le persone potenzialmente interessate di prendere provvedimenti per proteggersi, ad esempio monitorando attentamente le comunicazioni della compagnia assicuratrice con cui è stata stipulata una polizza sanitaria e dei fornitori di assistenza integrativa nel settore delle prestazioni mediche. Chi – tenendo d’occhio gli estratti conto – scopre qualche attività sospetta sui propri account o sospetta un furto di identità o una frode, deve segnalarlo alle Autorità e comunicarlo al proprio assicuratore o al fondo di assistenza sanitaria.

Su un apposito sito web Luxottica aggiunge “Ci dispiace che questo incidente si sia verificato e prendiamo molto sul serio le nostre responsabilità in materia di protezione dei dati. Abbiamo adottato misure per migliorare i nostri controlli di sicurezza e prevenire il ripetersi di questo tipo di incidente, inclusa l’implementazione di ulteriori restrizioni di accesso sulla nostra piattaforma di pianificazione dei pazienti”.

Il 27 ottobre la Luxottica americana ha cominciato ad inviare per posta una apposita comunicazione ai pazienti che nei fascicoli elettronici avevano fatto riportare informazioni di contatto.

e del cosiddetto “incidente” italiano cosa si sa?

Adesso sappiamo tutto (o comunque molto) di quel che è capitato al di là dell’Atlantico.

E su quel che è successo da noi è possibile sapere qualcosa? Bisogna aspettare che dal dark web inizi a venire a galla qualche sgradevole porzione della “refurtiva” di cui gli hacker sono entrati in possesso? Oppure c’è da augurarsi di leggere presto sul sito del Garante per la Privacy il testo del provvedimento adottato in proposito?

Tags
Back to top button
Close
Close