fb

Attacco agli account Twitter verificati

by

10 dicembre 2021 – Secondo il sito Bleeping Computer, nei giorni scorsi è stato lanciato un attacco per rubare le credenziali di accesso agli account verificati di Twitter, quelli che presentano il badge blu. I titolari di account verificati ricevono una email che li avvisa che perderanno il loro badge di verifica account se non aggiorneranno prontamente le informazioni. Nella email è presente un bottone “AGGIORNA QUI” o “UPDATE HERE” e il destinatario è indotto a credere che, cliccando sul bottone, si apra la pagina di login di Twitter, naturalmente non è così. Il link associato al bottone porta a siti che sembrano essere stati compromessi dai criminali per ospitare false pagine di login di Twitter. Le pagine che si aprono, infatti, sembrano punti di accesso legittimi agli account Twitter e chiedono, oltre che username e password, anche il secondo fattore di autenticazione.

L’attacco è stato lanciato contemporaneamente alla notizia che Twitter aveva revocato il badge a diversi account verificati. Attenzione, perché Twitter non invierà email con il link alla pagina di login. In ogni caso, se si riceve una email da Twitter (o da altri provider) con un link che invita ad accedere, meglio accedere sempre dalla pagina ufficiale e mai dal link presente nelle email. Se non ricordiamo l’indirizzo web della pagina ufficiale, possiamo trovarlo con una ricerca (es “twitter pagina login”)

Sanzione a una banca per mancata notifica di una violazione dei dati

by

22 novembre 2021: In Polonia, l’autorità di controllo ha inflitto una sanzione di € 80.000 ad una banca per non avere notificato all’autorità stessa e agli interessati una violazione di dati personali avvenuta in seguito allo smarrimento di corrispondenza dell’istitutuo contenente dati personali quali dati anagrafici, numero di identificazione personale, indirizzo di residenza, numero di conto corrente, codice cliente assegnato dalla banca.L’autorità di controllo nazionale è venuta a conoscenza della violazione a causa di un reclamo presentato da clienti della banca stessa. Nel corso delle indagini, è emerso come il titolare del trattamento abbia deciso di non notificare all’autorità la violazione dei dati valutando come “medio” il rischio dell’incidente. La banca ha comunicato ai reclamanti le circostanze dell’incidente, ma tale comunicazione non è stata giudicata sufficiente in relazione a quanto previsto dall’art. 34(2) del GDPR.

L’autorità polacca ha calcolato la sanzione tenendo conto delle circostanze aggravanti che la banca non ha avuto un atteggiamento collaborativo nel corso delle indagini e ha continuato a non ottemperare agli obblighi previsti dal GDPR in caso di violazione dei dati personali.

(fonte: EDPB)

Email in “CC” anziché in “BCC” e sanzione

by

L’Autorità britannica ICO (Imformation Commissioner’s Office) ha sanzionato un’ente di beneficienza attivo nel sostegno delle persone positive al virus HIV (HIV Scotland) per avere inviato via email a 105 persone associate l’invito ad un evento inserendo gli indirizzi nel campo “CC” (Carbon Copy) di Outlook invece che utilizzare il campo “BCC” (Blind Carbon Copy), mostrando a ciascun destinatario l’indirizzo email di tutti gli altri. Dei 105 indirizzi, 65 permettevano chiaramente di identificare il nome del destinatario. Due destinatari hanno segnalato la cosa ad HIV Scotland.

L’ente è stato sanzionato per £ 10.000 per violazione del principio di “integrità e riservatezza” (art. 5(1)(f) del GDPR) e per la mancata adozione di misure tecniche e organizzative adeguate al rischio (violazione dell’art. 32 del GDPR).