fb

SITI NON A NORMA E VIDEOSORVEGLIANZA – SANZIONI A PERSONE FISICHE

by

L’autorità spagnola AEPD ha recentemente sanzionato due persone fisiche, nel primo caso per avere pubblicato e mantenuto tre siti internet che non rilevavano il consenso degli utenti per l’installazione di cookie di tracciamento nel loro dispositivo né fornivano le informazioni su chi fosse il titolare del trattamento (in violazione dell’art. 6 e dell’art. 13 del GDPR), nel secondo caso per avere installato una videocamera di sorveglianza all’interno della propria auto che, una volta posteggiata nel garage condominiale, inquadrava parti comuni (in violazione dell’art. 5 del GPDR).

Questi episodi ricordano come anche le persone fisiche possono effettuare trattamenti di dati personali che ricadono nell’ambito di applicazione del GDPR, nel qual caso devono seguire gli obblighi previsti per qualsiasi titolare del trattamento.

(fonte: AEPD Link 1, Link 2)

VIDEOSORVEGLIANZA ABITAZIONE PRIVATA – SANZIONE DELL’AUTORITÀ SPAGNOLA

by

La Data Protection Authority spagnola AEPD ha sanzionato un privato cittadino per avere installato delle videocamere di sorveglianza a protezione della propria abitazione che, oltre a inquadrare gli spazi privati, permettevano di visualizzare anche un’area pubblica. L’autorità spagnola ha sanzionato il soggetto (titolare del trattamento) per violazione del principio di minimizzazione dei dati. L’autorità ha anche contestato la mancanza di informazioni sul trattamento dei dati personali effettuato tramite il sistema di videosorveglianza in violazione degli obblighi di trasparenza e di informazione nei confronti degli interessati. La sanzione è stata pari a 1.000 euro per violazione dell’art. 5 del GDPR e di 500 euro per violazione dell’art. 13 del GDPR.

(fonte: GDPR Enforcement Tracker)

FBI avvisa: nuovi attacchi tramite virtual meeting

by

Tra il 2019 e il 2021 negli USA si sono registrati diversi attacchi di tipo BEC/EAC (Business Email Compromise / Account Email Copromise) con l’utilizzo di piattaforme di virtual meeting.
Gli attaccanti utiliizzano queste tecniche in modi diversi:

  • Violazione dell’account email di un responsabile finanziario (CEO o CFO) e successiva richiesta ad un dipendente di partecipare ad un meeting a distanza tramite una qualche piattaforma di virtual meeting. Nel corso del meeting i criminali mostrano al dipendente una foto statica del CEO / CFO (ricavata ad esempio da un profilo social) e non attivano l’audio o fanno sentire un audio molto disturbato per poi comunicare che, a causa di problemi di rete, non è possibile attivare video e audio. Il dipendente quindi viene invitato a prendere istruzioni per procedere con un qualche pagamento dalla chat della piattaforma o tramite una successiva email (proveniente sempre dall’account compromesso).
  • Violazione dell’account email di un dipendente da parte di un criminale che, in questo modo, si inserisce in un meeting virtuale per raccogliere informazioni sul business dell’organizzazione e/o su pagamenti intercettabili
  • Compromissione dell’account email di un CEO per inviare email false ad un dipendente contenenti istruzioni per un pagamento

Non ci sono protezioni automatiche contro questo tipo di attacchi, il suggerimento è quello di sensibilizzare le possibili “vittime” ad adottare particolari cautele come, ad esempio:

  • L’invitato ad un meeting che si tiene tramite una piattaforma non comunemente utilizzata nell’organizzazione dovrebbe chiedere un’ulteriore conferma ad un terzo invitato o al mittente stesso della convocazione
  • Utilizzare l’autenticazione a due fattori per confermare le richieste di modifica ad un email account aziendale
  • Assicurarsi che gli URL presenti in una email (il link di invito alla video conferenza) siano riconducibili al mittente
  • Verificare che gli hyperlink presenti nelle email non contengano nomi di dominio simili ma non esattamente identici a quello verso cui dovrebbero puntare
  • Non inviare credenziali di login di qualche tipo via email
  • Attenzione che l’indirizzo destinatario che compare cliccando su “rispondi” ad una email sia esattamente quello che ci si aspetta