Cyberattacco Eataly: questa è la notizia che ha raggiunto via email molti clienti della catena, avvisati che l’infrastruttura e-commerce dell’azienda è finita nel mirino dei criminali informatici. Non è certo la prima volta che un marchio di questo livello viene preso di mira, ma c’è un dettaglio che vale la pena guardare da vicino: i dati personali di parecchi utenti potrebbero essere stati esposti, e il problema non sta tanto nella raffinatezza dell’attacco quanto in una scelta progettuale piuttosto discutibile.
Nella comunicazione ufficiale, Eataly mette le cose nero su bianco. “Sebbene non risulti un download dei dati, è possibile che questo attacco abbia esposto i dati personali (anagrafici / di contatto) presenti nel suo account (come nome, cognome, data di nascita, codice fiscale, indirizzi e recapiti) e i dati degli acquisti effettuati”. Tradotto: nomi, indirizzi, codici fiscali e storico degli ordini, tutto potenzialmente alla portata di chi è riuscito a entrare.
Cosa è rimasto protetto e cosa no
La buona notizia, per quel che può valere, riguarda i dati di pagamento. Eataly non li conserva sui propri sistemi, quindi quelli restano fuori dai giochi. Pure le password se la cavano: erano protette con tecniche di cifratura avanzata e gli attaccanti non hanno potuto leggerle in chiaro.
Il guaio vero è tutto il resto. I dati anagrafici dei clienti non erano cifrati come si deve, e questo li ha resi subito disponibili a chiunque avesse messo piede nel sistema. Valerio Pastore, fondatore di CyberGrant Inc., lo dice senza troppi giri di parole: “Quando un’azienda sceglie cosa cifrare e cosa no, sta implicitamente decidendo cosa considera accettabile perdere in caso di violazione. Un codice fiscale associato a un indirizzo e a uno storico acquisti non è un dato neutro: è un profilo. Con quel profilo si costruiscono messaggi di phishing personalizzati, si aprono linee di credito fraudolente, si alimentano truffe che durano mesi”.
Perché un profilo completo fa così paura
Ed è qui che la faccenda si fa scivolosa. Un profilo con nome, indirizzo, data di nascita, codice fiscale e abitudini di acquisto è esattamente la materia prima che alimenta le truffe più efficaci. Quelle cucite addosso alla vittima, quelle che sembrano vere perché chi scrive sa già con chi ha a che fare. Una mail che cita il tuo ultimo ordine, magari con tanto di nome del corriere giusto, fa abbassare la guardia anche alle persone più attente.
Per chi è cliente Eataly il suggerimento è semplice e concreto: occhio nei prossimi mesi a email, SMS e telefonate sospette, soprattutto se sembrano arrivare da corrieri, banche o servizi usati di solito. Il phishing personalizzato vive proprio di questi appigli.
Il caso, va detto, non spunta dal nulla. Lo scorso aprile anche Booking.com aveva incassato una violazione molto simile, con email, indirizzi e numeri di telefono finiti nelle mani sbagliate. E pure lì i dati di pagamento erano rimasti al riparo. Lo schema si ripete con una regolarità che fa riflettere: le aziende blindano ciò che costa di più, cioè i soldi, ma lasciano scoperto proprio quello che serve a costruire inganni credibili.
