DISA, una società statunitense specializzata nello screening dei candidati per le aziende, ha rivelato nelle scorse ore di aver subito una massiccia violazione dei dati. Non ci sarebbe nulla di nuovo e soprattutto di troppo più grave rispetto a tutte le altre situazioni del genere se non fosse che l’attacco in realtà è avvenuto poco più di un anno fa. L’azienda ha notificato il tutto solo adesso, facendo passare più di 12 mesi da quel 9 febbraio 2024.
Proprio in quella data, gli hacker entrarono nella banca dati della società spulciando i dati degli utenti per ben due mesi. Questa situazione non ha fatto altro che sollevare dubbi importanti in merito a come è stata gestita la situazione.
Data breach: DISA non ha certezze su cosa è stato rubato
DISA ammette di non sapere con esattezza quali dati siano stati trafugati, né se siano già stati utilizzati per scopi illeciti. Tuttavia, nella denuncia ufficiale compaiono informazioni estremamente sensibili, tra cui:
- Numeri di Social Security (equivalente del codice fiscale);
- Punteggi di credito e dati finanziari;
- Informazioni su conti bancari;
- Numeri di patente.
All’interno del database ci sono le informazioni di 3,3 milioni di impiegati e lavoratori in generale. Inoltre sono 55.000 le aziende che collaborano con la società colpita, alcune molto grandine negli Stati Uniti.
Silenzio e ritardi: una gestione discutibile
Al momento, almeno secondo quanto riportato, DISA continua a tacere. Non ci sono infatti informazioni su come è avvenuto il data breach né tantomeno sul perché di un’azione così tardiva.
L’azienda ha offerto ai soggetti coinvolti 12 mesi di protezione contro le frodi, tra cui il monitoraggio dei conti bancari e servizi di ripristino dell’identità in caso di abuso dei dati. Un gesto che sa di minimo sindacale, visto che le informazioni rubate potrebbero essere usate anche dopo il termine del supporto.
Se DISA avesse operato in Europa, sarebbe incorsa in una violazione grave del GDPR, che impone di notificare un attacco informatico entro 72 ore dalla scoperta. Ma negli Stati Uniti le regole sono meno stringenti, e casi come questo dimostrano quanto possa essere problematico il ritardo nella comunicazione.
Un anno di silenzio per un data breach di questa portata è difficile da giustificare. E mentre le vittime cercano di capire se i loro dati siano già finiti nelle mani sbagliate, resta il dubbio su quante altre aziende potrebbero adottare strategie simili, mettendo la sicurezza delle persone in secondo piano.
