SICUREZZA DIGITALE

Hanno rubato le password degli account di Subito.it

Ma gli hacker avrebbero colpito altrove!?!

Non ho fatto in tempo ad iscrivermi che già mi hanno rubato la password. Chi dice “Hai voluto la bici? …adesso pedala!” sa già cosa stavo cercando sul famoso sito di vendite tra privati.

Mentre sono felice dell’acquisto, sono un po’ meno allegro nello scoprire che la mia parola-chiave in meno di una settimana è finita nelle mani sbagliate.

Il portale “Subito.it” mi ha informato ieri che “A causa di una violazione dei dati personali su un sito terzo esterno a Subito, la password legata al tuo account [email protected] potrebbe essere compromessa”.

Nonostante non mi sia stato detto quando si è verificato l’ “incidente” informatico (poteva essere interessante ed utile sapere da quanto tempo le mie credenziali erano nelle mani sbagliate), non mi sono certo fatto prendere dallo sconforto e ho “ubbidito” al “Ti consigliamo di proteggere il tuo account il prima possibile, modificando la password utilizzata finora su Subito”.

Il messaggio in posta elettronica arrivato da [email protected] è fin troppo chiaro e non richiederebbe approfondimenti o interpretazioni, ma un dilemma mi ha assalito e non sono riuscito proprio ad evitarlo.

Se gli hacker o altri malintenzionati hanno violato “un sito terzo esterno” quale sarà mai la relazione tra i suoi server e la mia password che dovrebbe essere su quelli di Subito.it così da consentire la mia identificazione e l’accesso non anonimo?

Le domande sono come le ciliegie. Una tira l’altra. E così il quesito successivo è fin troppo ovvio. Come fa la mia parola chiave ad essere stata compromessa se i pirati informatici hanno colpito altrove? 

La curiosità si fa sempre più forte e incontenibile. Non vorrete mica dirmi che la mia chiave di accesso era conservata su un computer di una realtà estranea? Subito.it dove mai conserva account e password dei suoi utenti registrati?

Leggendo l’informativa prescritta dalla disciplina vigente in materia di privacy si scopre che i dati personali possono essere comunicati a “società che svolgono funzioni strettamente connesse e strumentali all’operatività – anche tecnica – dei servizi di Subito, quali ad esempio fornitori che erogano servizi finalizzati alla revisione e alla verifica degli annunci, fornitori di servizi di direct marketing e di customer care, società che erogano servizi di archiviazione, amministrativi, di pagamento e fatturazione, società collegate e/o facenti parte di Adevinta Group (gruppo di appartenenza di Subito.it S.r.l.) che forniscono componenti tecniche per l’erogazione di alcune funzionalità del servizio”.

Ma in quei “dati personali” rientra anche la password che dovrebbero conoscere solo l’interessato e “chi gli deve aprire la porta”? Direi proprio di no. Anche perché verrebbero meno le basilari misure di sicurezza cui il Regolamento Europeo sulla protezione dei dati personali sembra tenere davvero tanto. Anche perché qualcuno non autorizzato potrebbe sostituirsi all’utente legittimo e magari dar vita ad annunci fraudolenti che un un domani sarebbe ricondotti ad un preciso identificativo e alla relativa sequenza alfanumerica segreta che abilita l’accesso e il compimento di qualunque attività….

Qual è il server oggetto di violazione? Chi lo gestisce? Perché aveva la mia password e quella di chissà quanta altra gente? Perché non sono stato avvisato che il mio “Apriti Sesamo” era parcheggiato su un “sito terzo esterno”?

E’ stato avvisato il Garante Privacy entro le 72 ore previste? Cosa dice l’Autorità in proposito? Si intende accertare cosa è accaduto e magari farlo “Subito”?

Ah, dimenticavo. La bici che ho comprato è gialla, bellissima. 

Back to top button