Data breach Aruba: è così difficile chiedere scusa?

Posted by

Come si può vedere nell’immagine qua sotto, il 14 luglio appena passato, circa 5,4 milioni di persone (clienti di servizi Aruba), e probabilmente anche tu, hanno ricevuto questo e-mail, al fine di venir informati sull’incidente accaduto 3 mesi fa, e del quale Aruba, con tutta la sua infrastruttura, ne è stata vittima.

Si tratta di un messaggio abbastanza articolato, almeno in apparenza e ricco di grandi parole e concetti. Il problema fondamentale è che non è il messaggio che doveva essere: non è un messaggio di scuse.

Il discorso è questo: Aruba ha subito un attacco da attori malintenzionati e non autorizzati, ad Aprile 2021. Lo staff di Aruba ci lavora su e analizza la situazione, senza che nessun cliente ne sia ancora venuto a conoscenza. Passano tre mesi, probabilmente per le pressioni del Garante, si ritrova costretta a far sapere ai propri clienti che sono state trafugate informazioni anagrafiche indirizzi e recapiti vari. E come lo fa? Così, spontaneamente, come se nulla fosse e senza una parola di scuse.

Molto interessante. Ho voluto postare lo screenshot della mail così come è stata inviata da Aruba, proprio per farvi vedere che, nonostante l’importanza del messaggio, questo è stato studiato di modo che fosse facilmente catturato da qualsiasi antispam (ormai presente ovunque), senza il minimo accorgimento, al fine di essere nascosto e cadere in sordina ai più.

L’oggetto di questo messaggio è Comunicazione, che sinceramente non significa proprio nulla rispetto al contenuto di urgenza e importanza che contiene.

Si dà molta importanza al fatto che nessun dato è stato cancellato né alterato, ma non si fa nessun riferimento al fatto che qualcosa possa esser stato letto da occhi decisamente indiscreti e non autorizzati (confidenzialità del dato). Come se quest’ultimo non fosse un tema importante.

Vorrei ricordarvi che l’incidente accaduto ad Aruba nel mese di aprile è unicamente responsabilità di Aruba, benché non venga riconosciuta in questo messaggio e non dell’utente finale. È Aruba che avrebbe dovuto fare il possibile per evitare che accadesse e così non è stato, quindi non si possono cercare altri responsabili, la cola è unicamente di Aruba e del mancato (evidentemente) investimento in sicurezza informatica.

Nel messaggio si dà la colpa al fatto che questo è un brutto periodo per gli attacchi informatici che sono in grande aumento e che sono sempre più sofisticati. E quindi? Non serve che si pianga su quanto sono cattivi i malintenzionati, ci vogliono fatti e azioni concrete per contrastarli, evidentemente in Aruba questo contrasto non è stato sufficiente.

In ogni caso un incidente può sempre capitare, ma un’azienda che tiene a cuore la trasparenza e la sicurezza, dovrebbe essere tempestiva nell’avvisare i clienti interessati. Tempestività, unita a una buona dose di scuse e di assunzione di responsabilità, potrebbe cambiare totalmente il volta di quell’azienda, anche di fronte al grosso incidente. L’assenza di tutto questo non fa altro che: violare le leggi sulla trasparenza e sulla privacy e contemporaneamente far sentire presi in giro l’elevato numero di clienti colpiti.

A tal proposito Matteo Flora, ha espresso tutti questi concetti con la sua consueta magistralità nell’ultimo video di Ciao Internet, pubblicato pochissime ore fa in data di oggi, che ovviamente vi invito a guardare e condivido qua sotto.

Grazie per l’attenzione e buona visione.

Vuoi commentare? Accendi la discussione