Generalmente quando nelle aziende si verificano delle ingenti perdite di dati il primo pensiero va alle sanzioni che possono comportare le violazioni del Gdpr, ma il caso che ha recentemente coinvolto il gruppo di cosmesi francese Yves Rocher impone una riflessione su altre gravi conseguenze a cui possono andare incontro le società che si imbattono in un data breach.
Secondo quanto infatti riportato dai ricercatori di vpnMentor, le informazioni personali di 2,5 milioni di clienti canadesi della Yves Rocher sono state trovate non protette ed accessibili in un gigantesco database online di Aliznet, una società specializzata nella trasformazione digitale, che trai propri clienti annovera giganti della tecnologia del calibro di IBM, Oracle, Salesforce, e anche grandi marchi tra cui Auchan, Lacoste, Louboutin, e Sephora.
Che si trattasse di una violazione che mette a rischio la privacy dei clienti di Yves Rocher, lo si è capito subito dal fatto che la grande mole di dati scoperta dagli esperti di security comprende numeri di telefono, indirizzi e-mail, date di nascita, codici postali, nonché oltre sei milioni di ordini con ID univoco che consente non solo di identificare il cliente, ma anche di conoscerne l’importo dell’acquisto effettuato, i dettagli della transazione, la valuta utilizzata, la data di consegna, e anche l’ubicazione del negozio.
Insieme a queste informazioni personali, i ricercatori hanno però trovato anche dati interni della Yves Rocher, tra cui le statistiche sul traffico online, i volumi di fatturato, le descrizioni dei prodotti, gli ingredienti di oltre 40.000 prodotti, i prezzi dei prodotti, ed i codici di offerta usati per le promozioni.
Come se le informazioni trapelate all’esterno non fossero già abbastanza, il team degli esperti di vpnMentor, ha riscontrato anche una vulnerabilità API che consentiva di accedere a un’applicazione gestionale ad uso interno dei dipendenti di Yves Rocher, con la possibilità di aggiungere, modificare, e persino eliminare i dati presenti nella banca dati aziendale.
Considerando che il Gruppo Rocher ha un fatturato di 2 miliardi di euro annui e 18mila dipendenti, tali informazioni rappresentano un’enorme risorsa per competitor ed altre organizzazioni senza scrupoli, consentendo loro di stimare le vendite dei negozi ed i volumi degli ordinativi, ma anche di creare campagne pubblicitarie altamente efficaci che potrebbero causare una notevole perdita di clienti per Yves Rocher rispetto alla concorrenza del settore della cosmesi e della bellezza, con il pericolo di subire drastici cali nelle vendite, che a loro volta metterebbero a repentaglio i posti di lavoro.
Quando le aziende devono affrontare i temi della protezione dei dati, non ci sono quindi solo da evitare le pesanti multe del Gdpr, come non ci sono solo da tutelare i diritti delle persone, che pur rappresentano sempre l’anello più debole della catena. C’è anche da difendere con le unghie e con i denti l’intero patrimonio informativo, fatto di dati commerciali e strategici, segreti industriali, dossier riservati, e tante altre informazioni che devono praticamente rimanere “top secret”, dalla cui sicurezza può dipendere il futuro della stessa azienda.
Nicola Bernardi, presidente di Federprivacy – @Nicola_Bernardi