Cyberattacco Eataly: dati personali esposti, cosa fare

Eataly ha comunicato ai suoi clienti di aver subito un cyberattacco all’infrastruttura e-commerce. Non è la prima volta che un’azienda di questo calibro finisce nel mirino dei criminali informatici, ma quello che emerge dalla comunicazione ufficiale merita attenzione: i dati personali di molti utenti potrebbero essere stati esposti, e il motivo non è tanto la sofisticazione dell’attacco quanto una scelta progettuale discutibile.

Nella lettera inviata ai clienti, Eataly precisa che “sebbene non risulti un download dei dati, è possibile che questo attacco abbia esposto i dati personali (anagrafici / di contatto) presenti nel suo account (come nome, cognome, data di nascita, codice fiscale, indirizzi e recapiti) e i dati degli acquisti effettuati”. In pratica: nomi, indirizzi, codici fiscali e storico ordini, tutto potenzialmente accessibile.

Vuoi ascoltare il riassunto dell’articolo?

La buona notizia, per quel che vale, è che i dati di pagamento sono al sicuro: Eataly non li memorizza sul proprio sistema. Anche le password sono protette con tecniche di cifratura avanzata e non erano leggibili in chiaro dagli attaccanti.

Il problema reale, però, riguarda tutto il resto. I dati anagrafici dei clienti non erano cifrati in modo adeguato, e questo li ha resi immediatamente disponibili a chiunque fosse riuscito a entrare nel sistema. Valerio Pastore, fondatore di CyberGrant Inc., lo spiega senza giri di parole: “Quando un’azienda sceglie cosa cifrare e cosa no, sta implicitamente decidendo cosa considera accettabile perdere in caso di violazione. Un codice fiscale associato a un indirizzo e a uno storico acquisti non è un dato neutro: è un profilo. Con quel profilo si costruiscono messaggi di phishing personalizzati, si aprono linee di credito fraudolente, si alimentano truffe che durano mesi”.

Il punto è che un profilo completo, con nome, indirizzo, data di nascita, codice fiscale e abitudini di acquisto, è esattamente il tipo di dato che alimenta le truffe più efficaci: quelle personalizzate, quelle che sembrano legittime perché chi scrive sa già chi sei. Se siete clienti Eataly, il consiglio è di alzare la guardia su email, SMS e telefonate che vi riguardano nei prossimi mesi, soprattutto se sembrano provenire da corrieri, banche o servizi che usate abitualmente.

Il caso non è isolato: lo scorso aprile anche Booking.com aveva subito una violazione simile, con email, indirizzi e numeri di telefono degli utenti finiti nelle mani sbagliate, e anche lì i dati di pagamento erano rimasti protetti. Lo schema si ripete: le aziende proteggono quello che costa di più (i soldi), ma lasciano in chiaro quello che permette di costruire truffe credibili.