Il gruppo Audi Volkswagen subisce un data breach

Indice

Il gruppo Audi Volkswagen è stato vittima di un attacco che ha esposto i dati di oltre 3 milioni di utenti. L’origine del problema sarebbe stato un accesso da parte di persona non autorizzata ad un set di dati non protetto riguardanti i clienti del gruppo.

Cosa è successo

  • 10 marzo 2021: il gruppo Audi-Volkswagen ha scoperto l’accesso abusivo ai dati di alcuni clienti. È partita un’indagine interna per capire quali dati, la natura e lo scopo dell’attacco. L’indagine ha confermato il furto di una porzione di informazioni dei clienti. Sono stati anche individuati i segmenti di mercato e le fasce temporali a cui appartengono questi dati (li trovate nel comunicato ufficiale scaricabile in basso).
  • 24 marzo 2021: vi è la conferma che informazioni personali e particolari (sensibili) sono state trafugate e sono incluse nel data breach.

first and last name, personal or business mailing address, email address, or phone number. In some instances, the data also included information about a vehicle purchased, leased, or inquired about, such as the Vehicle Identification Number (VIN), make, model, year, color, and trim packages.

L’editoriale TechCrunch (leggi qui l’articolo) ha chiaramente descritto le cause nel suo articolo.

Volkswagen says more than 3.3 million customers had their information exposed after one of its vendors left a cache of customer data unsecured on the internet.

Successivamente il portale BleepingComputer, in un articolo di riepilogo (leggi qui l’articolo), ha riassunto l’accaduto.

On March 20th, VWGoA was notified by the vendor that an unauthorized person had accessed the data and may have obtained the customer information for Audi, Volkswagen, and some authorized dealers. VWGoA states that the breach involved 3.3 million customers, with over 97% of those affected relating to Audi customers and interested buyers.

Ovviamente il gruppo Audi Volkswagen ha pubblicato un comunicato ufficiale dal quale però non si evince quali possano essere state le conseguenze di questo breach.

La compagnia sta lavorando con le autorità per indagare e contenere le eventuali conseguenze ma tra i dati rubati potrebbero esserci anche i dati delle patenti di numerosi clienti ma anche i dati di assicurazione e altri ancora. Dalla comunicazione ufficiale si apprende, infatti:

More than 95% of the sensitive data included was driver’s license numbers. There were also a very small number of dates of birth, Social Security or social insurance numbers, account or loan numbers, and tax identification numbers.

Più del 95% dei dati sensibili inclusi erano i numeri della patente di guida. C’erano anche un numero molto limitato di date di nascita, numeri di previdenza sociale o previdenza sociale, numeri di conto o prestito e numeri di identificazione fiscale. [Google Translator]

Il gruppo ha reagito avviando un’indagine interna e non solo. Un’assicurazione di 1.000.000 di dollari è stata messa a disposizione per sanare eventuali conseguenze provocate dal furto di identità.