Attacco informatico sui server OnePlus; il produttore cinese di smartphone subisce l’ennesimo furto di dati sensibili dei propri clienti.
Una pessima gestione della sicurezza dei propri sistemi IT aveva già causato un precedente data breach nel gennaio 2018, in quell’occasione 40.000 clienti persero i dati delle proprie carte di credito.
Al momento la OnePlus non ha comunicato l’esatto numero degli utenti a cui sono stati sottratti nome, numero di telefono, indirizzo di residenza, e-mail. La società cinese ha avvisato i propri clienti della perdita dei dati attraverso una e-mail simile, sia nella forma che nella sostanza, a quelle inviate anche da altre aziende che in passato hanno subito un attacco informatico con perdita di dati.
Nella e-mail inviata dal supporto OnePlus sono presenti informazioni molto sommarie, senza alcun accenno alle modalità usate dagli hacker durante l’attacco informatico, né quali sistemi sono stati realmente colpiti. La e-mail termina con le scuse di rito sottolineando che la società è “… profondamente dispiaciuta e ci impegneremo a fare tutto il possibile per prevenire ulteriori incidenti. Continueremo a indagare aggiornandoti appena emergeranno nuovi elementi…”.
Un comportamento dettato più da obblighi previsti dalla legge GDPR (Regolamento Generale sulla Protezione dei Dati) n. 2016/679 del 2016 ed entrata in vigore nel maggio del 2018. La 2016/679 è stata scritta per rafforzare la protezione dei dati personali di cittadini dell’Unione europea e dei residenti nell’Unione europea, anche quando si trovano fuori dai confini UE.
Negli artt. 33 e 34 della legge 2016/679 viene fatto riferimento esplicito a casi come quelli subiti dalla OnePlus. In caso di data breach, anche accidentali, la perdita dei dati, la loro modifica e la loro divulgazione non autorizzata, se non comunicata tempestivamente alle autorità nazionali farebbe scattare sanzioni amministrative molto salate che potrebbero arrivare fino a 10 milioni di euro o, in base all’art. 83 paragrafo 4, al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Va sottolineato il fatto che la e-mail ai propri clienti è stata inviata nella giornata di ieri 22 novembre, dai commenti presenti nel forum di supporto si scopre che le notifiche sono state inviate solo 7 giorni dopo la scoperta del furto di dati.
Fonte: Alessandro T. (Grazie!)