Ho ricevuto questa mail dall'Hotel in cui ho prenotato le vacanze..

[xmagox]

Ho ricevuto questa mail dall'Hotel in cui ho prenotato tempo fa le vacanze.
Sottolineano che i dati relativi alle carte di credito sono sicuri, e proprio perché lo sottolineano mi preoccupa ancora di più .
La mia domanda è semplice: una volta ricevuta una mail del genere un utente cosa dovrebbe fare?
Cioè non capisco cosa me lo dicono a fare, nel senso avvertimi ma poi spiegami anche cosa dovrei fare. O no?
mahhh

---------------------------------------------------------------------

Gentile Ospite,

desideriamo informarLa del fatto che uno dei nostri fornitori di servizi ha subito un accesso abusivo al suo sistema informatico che potrebbe avere determinato la diffusione di alcuni suoi dati personali.

Questi dati includono:

- Cognome, nome, email, nazionalità e, potenzialmente, il Suo indirizzo

- La data di arrivo e la data di partenza dall’hotel

- Importo e numero di conferma della prenotazione

Tuttavia, in questa fase delle indagini condotte dal nostro fornitore, non ci risulta alcun accesso ai dati di pagamento, ai dettagli bancari o alle sue password.

La causa dell’accesso abusivo è stata rilevata, su segnalazione del nostro fornitore, il 19 giugno 2018 ed è attualmente sotto controllo e sono state prese tutte le misure necessarie per evitare che l'incidente si ripeta.

Abbiamo già provveduto ad effettuare la comunicazione al Garante Privacy Italiano ex art. 33 GDPR, relativamente all'avvenuta violazione.

Nello scusarci per l’inconveniente La informiamo che abbiamo da tempo avviato procedure per l’adeguamento al GDPR e, pertanto, stiamo adottando nuovi standard tecnici in linea con i requisiti e le migliori pratiche europee.

Il nostro obbiettivo è quello di garantire ai nostri Ospiti la più assoluta riservatezza e confidenzialità delle informazioni e dati personali forniti nell'ambito delle prenotazioni effettuate.

A tale proposito vi informiamo che tutti i dati relativi alle carte di credito sono attualmente sicuri e non sono stati oggetto di accesso abusivo anche in considerazione delle forme di anonimizzazione adottate, grazie all'utilizzo di avanzate tecniche crittografiche utilizzate.

Tali misure di sicurezza saranno a breve estese anche ai dati personali comuni al fine di prevenire ulteriori rischi.

Per qualunque dubbio o necessità non esitate a contattarci.

 

[FogOnLine]

Con l'avvento del GDPR esiste un obbligo di notifica all'utente (oltre che al garante) in caso di data-breach entro 72 ore, pena multe molto salate.

Diciamo che la comunicazione è un obbligo....anche se appaiono un pò in ritardo

 

[Rand0m]

Con l'avvento del GDPR esiste un obbligo di notifica all'utente (oltre che al garante) in caso di data-breach entro 72 ore, pena multe molto salate.

Diciamo che la comunicazione è un obbligo....anche se appaiono un pò in ritardo

Ti devono avvisare per legge, a causa delle nuove normative. Non é neppure detto che abbiano rubato anche i tuoi dati, semplicemente hanno avuto un data breach e sono obbligati ad informare tutti i clienti della cosa, a prescindere che i tuoi dati personali siano stati rubati o meno. Riguardo alla carta di credito, se avessero rubato anche quella con buona probabilità ti saresti già trovato addebiti non autorizzati, se non moti operaziomi strane non devi preoccuparti. Anche perché diciamo che puoi fare poco o nulla; sospendere o bloccare una carta di credito solo perché si ha un sospetto di dati rubati, ma senza operazioni fraudolente, non mi sembra una cosa da fare. No n ci starei a pensare troppo, dal momento ti dovessero arrivare sms di transazioni non autorizzate, blocchi tutto

 

[pydra]

Io nel dubbio bloccherei la carta.

 

[skymap]

Ma se avessero letto il dbase delle carte per usarle online non c'è bisogno anche del cvv ? quello non dovrebbero averlo presumo, poi c'è il secure pass visa o master che sarebbe buona cosa attivare...

A me sembra più pericoloso il bancomat della cdc per le frodi.

 

[sinx98]

Ragazzi ho ricevuto un'email simile da WordPress, era in inglese ma l'ho tradotta in italiano, ecco il contenuto:

Salve,

Le credenziali di accesso sono state recentemente scoperte in un elenco di account compromessi pubblicati dai ricercatori di sicurezza. Questo elenco non è stato generato in seguito a problemi di sicurezza su WordPress.com, ma piuttosto a un sito o servizio esterno che viene utilizzato anche come hackerato e ai relativi dati utente diffusi dagli autori di attacchi.

Per motivi di sicurezza, abbiamo temporaneamente bloccato il tuo account WordPress.com

Fino a quando la tua password non sarà stata ripristinata, non sarai in grado di accedere ai tuoi siti:

È molto importante che la tua nuova password sia unica. L'utilizzo della stessa password su siti Web diversi aumenta il rischio di compromissione dell'account. Ora sarebbe un buon momento per passare attraverso tutti i tuoi servizi online e impostare password distinte e forti per ciascuno.

Una volta modificata la password, ti consigliamo vivamente di rendere il tuo account ancora più sicuro attivando l'autenticazione in due passaggi nella sezione Sicurezza del menu Profilo.

- Il team di WordPress.com"

Che devo fare?
Non ricordo la password che avevo inserito e se l'ho utilizzata per altri servizi..

E' veramente necessario cambiare la password di tutti i miei servizi online?

Ditemi che ne pensate..

Grazie

 

[xmagox]

Io nel dubbio bloccherei la carta.

eccerto! giusto così per perdere tempo

 

[xmagox]

Ma se avessero letto il dbase delle carte per usarle online non c'è bisogno anche del cvv ? quello non dovrebbero averlo presumo, poi c'è il secure pass visa o master che sarebbe buona cosa attivare...

A me sembra più pericoloso il bancomat della cdc per le frodi.

perché quello non viene memorizzato insieme a tutti gli altri dati della carta?

 

[xmagox]

Con l'avvento del GDPR esiste un obbligo di notifica all'utente (oltre che al garante) in caso di data-breach entro 72 ore, pena multe molto salate.

Diciamo che la comunicazione è un obbligo....anche se appaiono un pò in ritardo

quello che non mi spiego come si fa a scrivere una norma che preveda l'obbligo di notifica all'utente ma senza indicare nessuna cosa da fare in concreto!
E' una vera follia questa!
Essere notificati di una cosa per la quale non si è in grado di fare nulla!
Vi rendete conto di quanto siano folli e scritte coi piedi la maggior parte di norme?

 

[xmagox]

Con l'avvento del GDPR esiste un obbligo di notifica all'utente (oltre che al garante) in caso di data-breach entro 72 ore, pena multe molto salate.

Diciamo che la comunicazione è un obbligo....anche se appaiono un pò in ritardo

se la sono presa comoda, forse erano al mare, è passato circa 1 mese dall'evento

 

[Loryfab]

Con l'avvento del GDPR esiste un obbligo di notifica all'utente (oltre che al garante) in caso di data-breach entro 72 ore, pena multe molto salate.

Diciamo che la comunicazione è un obbligo....anche se appaiono un pò in ritardo

Sicura che le 72 non sono solo per il garante?

Comunque siamo in un periodo transitorio per il GDPR, hanno confermato che fino a gennaio 2019 non irrogheranno sanzioni...

 

[skymap]

perché quello non viene memorizzato insieme a tutti gli altri dati della carta?

Il cvv si utilizza solo nelle transazioni online, in albergo se hai messo la carta nel pos per effettuare un pagamento non è richiesto e quindi non viene memorizzato, l'unico che potrebbe leggerlo è l'impiegato che ti fa il conto mentre ha la carta in mano ma non chi cracca il dbase.

Una carta clonata può essere usata fisicamente ma non vedo come si possa online.

 

[FogOnLine]

quello che non mi spiego come si fa a scrivere una norma che preveda l'obbligo di notifica all'utente ma senza indicare nessuna cosa da fare in concreto!
E' una vera follia questa!
Essere notificati di una cosa per la quale non si è in grado di fare nulla!
Vi rendete conto di quanto siano folli e scritte coi piedi la maggior parte di norme?

Abbi pazienza, ma cosa potrebbero dirti?

La notifica indica che sono venuti in possesso di tuoi dati ("Cognome, nome, email, nazionalità e, potenzialmente, il Suo indirizzo") che sono dati che non è che puoi cambiare.

Quello cui farei attenzione, ma è solo buon senso, è se ricevi una mail che indica i codici prenotazione, le date (che sono tra i dati sottratti) e che magari richiede i dati carta che potrebbe non essere realmente mandata dall'hotel (se hai dubbi si chiama l'hotel e si chiede conferma).

Se nella notifica è indicato che la carta e altri dati del genere non risultano nell'accesso anomalo...io starei tranquillo (e comunque terrei a portata di mano la copia della notifica dell'hotel).

 

[FogOnLine]

Sicura che le 72 non sono solo per il garante?[...]

Per il garante senz'altro....per l'utente....mi fai venire il dubbio

Edit. in effetti la notifica all'interessato va fatta solo in alcuni casi e per i tempi si parla di "...senza ingiustificato ritardo...".
Può essere proprio l'autorità di garanzia a indicare la necessità di notifica all'utente...quindi con tempi che si dilatano.
Articolo 34 EU regolamento generale sulla protezione dei dati (EU-RGPD). Privacy/Privazy according to plan.

[...]hanno confermato che fino a gennaio 2019 non irrogheranno sanzioni...

Ecco....questa mi mancava

 

[xmagox]

Abbi pazienza, ma cosa potrebbero dirti?

La notifica indica che sono venuti in possesso di tuoi dati ("Cognome, nome, email, nazionalità e, potenzialmente, il Suo indirizzo") che sono dati che non è che puoi cambiare.

Quello cui farei attenzione, ma è solo buon senso, è se ricevi una mail che indica i codici prenotazione, le date (che sono tra i dati sottratti) e che magari richiede i dati carta che potrebbe non essere realmente mandata dall'hotel (se hai dubbi si chiama l'hotel e si chiede conferma).

Se nella notifica è indicato che la carta e altri dati del genere non risultano nell'accesso anomalo...io starei tranquillo (e comunque terrei a portata di mano la copia della notifica dell'hotel).

per quanto mi riguarda è solo fuffa, bla bla bla che non serve a niente
inutile burocrazia
preferirei non essere notificato o esserlo solo nel caso in cui nella mail di notifica ci fosse anche scritto il da farsi concreto
altrimenti per quanto mi riguarda la notifica se la possono anche mettere a quel posto

 

[xmagox]

Il cvv si utilizza solo nelle transazioni online, in albergo se hai messo la carta nel pos per effettuare un pagamento non è richiesto e quindi non viene memorizzato, l'unico che potrebbe leggerlo è l'impiegato che ti fa il conto mentre ha la carta in mano ma non chi cracca il dbase.

Una carta clonata può essere usata fisicamente ma non vedo come si possa online.

no il pagamento all'albergo è avvenuto on line e non nel pos, quindi quando ho pagato il cvv l'ho dovuto inserire eccome

 

[groviglio]

quello che non mi spiego come si fa a scrivere una norma che preveda l'obbligo di notifica all'utente ma senza indicare nessuna cosa da fare in concreto!
E' una vera follia questa!
Essere notificati di una cosa per la quale non si è in grado di fare nulla!
Vi rendete conto di quanto siano folli e scritte coi piedi la maggior parte di norme?

per me , invece, è fondamentale essere avvertito che i miei dati (anches olo alcuni) possono essere stati trafugati in un breach...quindi sembra che il GDPR funzioni eccome, anchese siamo sol all'inizio


sapere della fuga di dati mi permette di essere più sensibile in futuro alle questioni di sicurezza

pensa che meraviglia subire leaking e non venirlo neppure a sapere (come spesso, anzi, quasi sempre, è avvenuto fino ad ora)

 

[marcofi]

Ho ricevuto questa mail dall'Hotel in cui ho prenotato tempo fa le vacanze.

il Suo indirizzo

- La data di arrivo e la data di partenza dall’hotel

Come ha gia' scritto @FogOnLine questi sono dati che *non* puoi cambiare.

Chi rimane a casa a fare il turno di guardia?

Potrebbe essere legittimo motivo per recesso dalla prenotazione?