Lidl ha subito un furto di dati che ha colpito una parte dei suoi clienti, anche se a essere violato non è stato direttamente un sistema della catena di supermercati ma un suo partner esterno. Una dinamica che ormai si vede spesso, con gli attaccanti che preferiscono colpire i fornitori piuttosto che l’azienda principale. Al momento risultano interessati soltanto i clienti tedeschi, belgi e olandesi, e la società ha già mandato una mail a tutti i diretti coinvolti oltre a pubblicare comunicazioni sui canali ufficiali locali.
Quali dati sono finiti nelle mani sbagliate
La violazione ha riguardato alcune informazioni personali dei clienti dello store online. Parliamo di nome, cognome, numero di telefono, indirizzo email, data di nascita e numero cliente. Dati che, presi singolarmente, possono sembrare poca cosa, ma che messi insieme diventano un bel bottino per chi vuole tentare truffe mirate o campagne di phishing costruite ad arte.
Le indagini non sono ancora chiuse e non si può escludere che siano stati portati via altri record. Restano soprattutto in sospeso alcune domande importanti: password, indirizzi di fatturazione e consegna, coordinate bancarie o altri dati legati ai pagamenti potrebbero essere stati toccati oppure no. Nessuna certezza, insomma, e proprio per questo agli utenti coinvolti viene chiesto di tenere gli occhi ben aperti su qualsiasi movimento strano riguardante carte e conti bancari usati per gli acquisti sullo shop.
Il consiglio più pratico è cambiare la password il prima possibile. E lo stesso vale per ogni altro sito dove è stata riutilizzata la stessa combinazione di nome utente e password, che poi è uno degli errori più diffusi in assoluto e uno dei preferiti da chi mette in piedi questi attacchi informatici.
Come è stato gestito l’attacco
La scoperta è arrivata solo la scorsa settimana. Il fornitore di servizi IT coinvolto ha già presentato una denuncia presso le autorità competenti e ha ingaggiato un team di informatica forense per capire l’esatta portata della violazione e misurarne le conseguenze reali. Passaggi che servono a ricostruire cosa è successo, quando e con quale ampiezza.
Nel frattempo è stata allertata anche l’Autorità olandese per la protezione dei dati personali, come previsto dalle normative europee sulla privacy. Un obbligo di legge che scatta ogni volta che si verifica un incidente di questo tipo e che rientra nelle procedure standard del GDPR.
Lidl è presente in tanti altri mercati, compreso quello italiano, ma per ora non ci sono elementi che facciano pensare a un coinvolgimento degli utenti al di fuori dei tre Paesi già citati. Chi fa la spesa online in Italia, quindi, non risulta interessato da questa specifica vicenda. Resta comunque valida la regola di sempre per chiunque abbia un account su piattaforme di e-commerce: password diverse per ogni servizio e attenzione ai messaggi sospetti che arrivano via email o via SMS, perché spesso è proprio da lì che partono i tentativi di frode costruiti sfruttando dati sottratti in situazioni come questa.