Prima di tutto è importante specificare cosa sia il “data breach“.
Il data breach, è una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.
Alcuni possibili esempi:
- l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
- il furto o la perdita di dispositivi informatici contenenti dati personali;
- la deliberata alterazione di dati personali;
- l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
- la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
- la divulgazione non autorizzata dei dati personali.
Cosa fare in caso di violazione dei dati personali?
Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.
Cosa è successo a Twitter e cosa può fare Elon Musk
Oltre 400 milioni di account Twitter sono stati violati e saranno messi in vendita sul deep web salvo la compagnia di Elon Musk paghi un cospicuo riscatto.
L’hacker, che ha pubblicato una lista esemplificativa di quando depredato, ha dimostrato di possedere informazioni riservate quali indirizzi e-mail e numeri di telefono di personaggi famosi, funzionari governativi, aziende e un’infinità di utenti ordinati.
Un’agenzia israeliana di cyber intelligence chiamata Hudson Rock avrebbe scoperto per prima il post dell’hacker che dichiara di aver sfruttato una vulnerabilità dell’API del social media e desidera esser pagato, a titolo di riscatto, dalla compagnia Elon Mask che – stando alle pretese – potrà così evitare un maxi multa GDPR e nemmeno vedere le informazioni private degli utenti gettate in pasto al miglior offerente del deep web. Lo hacker/venditore, noto come nome Ryushi nei forum di data leak, ha affermato che se Twitter pagherà – tramite un mediatore – la cifra di 200.000 USD “I dati non saranno venduti a nessun altro, il che impedirà a molte celebrità e politici di finir vittime di phishing, truffe di criptovalute, scambio di Sim, doxxing e altre cose che faranno perdere ai vostri utenti la fiducia in voi come azienda (…)”.
Il post ricattatorio è arrivato un giorno dopo che la Commissione irlandese per la protezione dei dati (DPC) ha dichiarato di voler indagare su una precedente fuga di dati di Twitter che nel luglio 2022 ha interessato oltre 5,4 milioni di utenti a causa, apparentemente, della stessa vulnerabilità sfruttata ora da Ryushi e che era stata segnalata alla compagnia già nel gennaio precedente.
LA DPC ha dichiarato di aver “corrisposto con Twitter International Unlimited Company (‘TIC’)” in relazione alla violazione dei dati e di aver “sollevato domande in relazione alla conformità al GDPR“. Dopo aver esaminato le informazioni fornite da TIC in risposta alle sue richieste, la DPC ha dichiarato di essere del parere che una o più disposizioni del GDPR siano state violate in relazione ai dati personali degli utenti di Twitter. C’è dunque da attendersi una sanzione GDPR per la violazione del luglio 2022 e, probabilmente, nei prossimi tempi una sanzione ancor più pesante per questo nuovo data breach natalizio.