La paura è del tutto normale e logica. Quando esce la notizia di una violazione di dati, la prima domanda che viene spontanea è: hanno colpito anche me?
La reazione consueta è quella di confrontare l’azienda hackerata con un vostro elenco di società, prodotti e interazioni online avute negli ultimi anni. Una volta passata in rassegna questa lista di potenziali elementi di rischio, potete finalmente tirare un sospiro di sollievo. E dato che i vostri altri account non sono menzionati nella notizia, non avete nient’altro di cui preoccuparvi e potete rilassarvi. Giusto?
Sbagliato. La reazione “nessuna nuova, buona nuova” ignora un aspetto molto semplice: tra il momento in cui i dati personali vengono rubati e quello in cui la violazione è resa pubblica spesso intercorre un periodo di tempo piuttosto lungo. A volte questo ritardo può essere di anni. E ci sono molte violazioni di dati che non vengono mai divulgate.
I modi in cui le persone vengono a conoscenza di una violazione di dati sono tanto vari quanto i modi in cui i dati stessi vengono rubati. Può capitare di vedere al telegiornale che un’azienda presso cui si fanno regolarmente acquisti è stata hackerata. Si potrebbe notare un’improvvisa ondata di attività sul conto in banca. Oppure ci si potrebbe non accorgere di nulla, fino a quando non si va a chiedere un prestito. Il fatto è che non tutti i furti di dati sono realizzati allo stesso modo. Altre fughe di dati possono essere individuate nel dark web entro poche settimane dall’hackeraggio, quando i cyber criminali sono all’opera per convertire i dati rubati in denaro finché sono ancora “freschi”. Nel caso di alcuni attacchi hacker industriali e pilotati da uno Stato – come la violazione della catena Marriott, a seguito della quale i dati non sono mai comparsi sul dark web – lo scopo è semplicemente raccogliere informazioni dettagliate sulle persone.
5 modi per scoprire se i vostri dati personali sono stati rubati/divulgati
1. Mass media
Giornali come il New York Times o il Wall Street Journal spesso pubblicano notizie di grandi violazioni di dati. Le pubblicazioni specializzate in sicurezza, come KrebsOnSecurity e SC Magazine, fanno anche di meglio, fornendo spesso informazioni più approfondite su come si è verificata la violazione.
2. Estratti conto bancari
Dovreste controllare i vostri estratti conto bancari per verificare che non ci siano pagamenti strani o insoliti. Se vedete acquisti di pizza che si ripetono in serie, è possibile che il vostro conto sia stato violato o che i dati della vostra carta di credito siano stati rubati.
3. Haveibeenpwned
Have I Been Pwned? è il sito web che consente alle persone di verificare se i loro dati personali sono stati compromessi da una violazione dei dati. È stato creato da Troy Hunt sulla scia della violazione di Adobe, in cui ha visto gli stessi account e le stesse password essere violati ripetutamente. Per utilizzarlo, basta andare su https://haveibeenpwned.com/, inserire il proprio indirizzo email e fare clic su “pwned?”. Se vedete il messaggio “Oh no – pwned!” è probabile che i dettagli della vostra email siano stati coinvolti in una violazione recente. Questa verifica si limita alle email e non include altri importanti dettagli soggetti ad hackeraggio, come i dati fiscali o i numeri di telefono.
4. Agenzie di credito
Negli Stati Uniti, è possibile ottenere un rapporto di monitoraggio del credito gratuito ogni anno da ciascuna delle tre principali agenzie di credito: Equifax, Experian e TransUnion. Questo è il metodo tradizionale per scoprire attività sospette e la comparsa di nuovi account. Tuttavia, la stessa Equifax ha subito una grave violazione dei dati, cosa che ha suscitato sospetti sui processi di gestione dell’agenzia. A partire dal 2018, gli americani hanno anche la possibilità di congelare le proprie pratiche di credito, impedendo alle tre agenzie di divulgare o vendere i loro report di credito. Si tratta inoltre di un servizio gratuito, a differenza di quelli di “blocco del credito” forniti dalle agenzie.
5. L’annuncio
Sì, in seguito a una violazione dei dati personali dei loro clienti, le aziende hanno obblighi formali di segnalazione. E possono incorrere in sanzioni elevate in caso di mancato rispetto di tali obblighi. Tuttavia, queste notifiche tendono ad arrivare dopo che la notizia della violazione è già stata diffusa dalla stampa, il che le rende una mera conferma di un fatto già noto.