Ultimo aggiornamento: 2023/04/13 12:40.
Se avete una Hyundai acquistata in Italia o in Francia, o se avete anche solo
partecipato recentemente a un test di guida di un’auto Hyundai in questi paesi, fate attenzione a eventuali
messaggi e chiamate da parte di sedicenti rappresentanti dell’azienda.
Il ricercatore di sicurezza Troy Hunt segnala infatti una comunicazione
“riservata e confidenziale” da parte di Hyundai in italiano che
annuncia che “una terza parte non autorizzata ha avuto accesso” a
“e-mail, indirizzi e numeri di telefono” dei clienti e a
“dati dei veicoli (come i numeri di telaio)”. L’azienda aggiunge che ha “messo in atto tutte le misure” per arginare l’accesso e ha “informato tempestivamente il Garante per la Protezione dei Dati Personali.”
Data breach at
@Hyundai_Italia: pic.twitter.com/oMMcFiG2Ud— Troy Hunt (@troyhunt)
April 11, 2023
Hyundai invita “a prestare particolare attenzione ed a verificare qualsiasi tentativo di contatto via e-mail, posta e/o sms che possa sembrare provenire da Hyundai Italia o da altre entità del Gruppo Hyundai” e raccomanda in particolare “di evitare di premere qualsivoglia link che possa essere contenuto nel tentativo di contatto”.
L’azienda offre anche un indirizzo di mail da usare “per qualsiasi verifica o supporto”: databreach@hyundai.it.
Questo è il testo integrale della comunicazione citata da Hunt:
Gentile [omissis]
a nome di Hyundai Motor Company Italy, sono spiacente di informarla che la
nostra azienda ha recentemente appreso che una terza parte non autorizzata
ha avuto accesso ad alcune informazioni contenute nel nostro database
clienti.Non appena ci è stato comunicato l’incidente abbiamo immediatamente avviato
un’indagine e messo in atto tutte le misure per arginarlo. Ci siamo rivolti
ai migliori specialisti di cybersecurity ed ai nostri avvocati per farci
supportare nella gestione dell’incidente. Abbiamo informato tempestivamente
il Garante per la Protezione dei Dati Personali e tra le varie misure di
sicurezza adottate, abbiamo bloccato il server interessato e lo abbiamo
rimosso definitivamente dalla rete. Stiamo continuando a lavorare con i
nostri team IT per garantire che i nostri sistemi mantengano un elevato
standard di sicurezza.Le nostre indagini informatiche hanno confermato che alcuni dati dei nostri
clienti potrebbero essere effettivamente stati impattati. Nello specifico, i
dati comprendono informazioni di contatto (come e-mail, indirizzi e numeri
di telefono) e dati dei veicoli (come i numeri di telaio). Non sono stati
invece colpiti né dati finanziari, né numeri di identificazione ufficiali.Sebbene non vi siano prove che i dati interessati siano stati utilizzati per
scopi fraudolenti, per estrema cautela, la invitiamo a prestare particolare
attenzione ed a verificare qualsiasi tentativo di contatto via e-mail, posta
e/o sms che possa sembrare provenire da Hyundai Italia o da altre entità del
Gruppo Hyundai. In particolare, le raccomandiamo di evitare di premere
qualsivoglia link che possa essere contenuto nel tentativo di contatto che
potrebbe ricevere.Come sempre, può contattarci direttamente per qualsiasi verifica o supporto.
A questo proposito, abbiamo predisposto un canale dedicato che potrà
raggiungere all’indirizzo databreach@hyundai.it.Per noi di Hyundai Motor Company Italy la protezione dei dati personali dei
nostri clienti è sempre stata una priorità assoluta.Ci impegniamo ogni giorno per garantire i massimi standard di sicurezza ed
assicurare una risposta pronta e esaustiva in caso di qualsiasi rischio,
anche solo potenziale.Hyundai Motor Company Italy si scusa per qualsiasi preoccupazione che questo
incidente possa averle causato.
Anche Hyundai Motor France ha diffuso una comunicazione analoga [in francese, che mi è stata
segnalata su
Mastodon e fornisce un indirizzo di contatto (hyundaivousrepond@hyundai.fr)]:
Il testo francese (troncato in coda nello screenshot) è questo:
Chère Madame, Cher Monsieur,
Notre base de données clients a récemment
fait l’objet d’une attaque informatique par un tiers non autorisé qui a accédé
à certaines données personnelles de nos clients (nom, prénom, date de
naissance, adresse email et postale, numéro de téléphone, numéro de client et
numéro de châssis). Aucune donnée financière ou sensible n’a été affectée.
Des
que nous en avons pris connaissance, nous avons diligenté une enquête interne
avec des experts en informatique et nos avocats qui ont d’ores et déjà pris
les mesures techniques afin d’y remédier. Parmi les diverses mesures
techniques mises en œuvre, nous avons aussitôt bloqué le serveur concerné et
l’avons définitivement retiré de notre réseau. Nous prenons également toutes
les mesures complémentaires qui s’imposent afin d’éviter qu’un tel incident se
reproduise. Sachez que cet incident a également fait l’objet d’une
notification à la CNIL.
A ce stade, rien n’indique que vos données
personnelles ont été réutilisées à des fins frauduleuses. Toutefois, nous vous
demandons de rester vigilant dès maintenant et dans les mois qui viennent aux
communications que vous pourriez recevoir de la part de Hyundai Motor France
ou d’une autre entité du groupe Hyundai Motor et qui vous paraitraient
suspectes.
Si un email, courrier et/ou SMS vous semble suspect, n’y
répondez pas, ne cliquez pas sur les liens qu’il contient et prévenez-nous en
nous écrivant à l’adresse suivante:
hyundaivousrepond@hyundai.fr
Nous
vous indiquerons en retour si cette communication émane effectivement de
Hyundai ou non.
Chez Hyundai Motor France, la protection des données
personnelles de nos clients est une priorité absolue. Bien que cet incident
soit indépendant de notre volonté, nous vous prions de bien vouloir accepter
toutes nos excuses.
L’équipe Hyundai reste à votre entière disposition
pour toute information
complémentaire (hyundaivousrepond@hyundai.fr)
Je
vous prie d’agréer, Madame, Monsieur, l’expression de mes salutations
distinguées
Lionel FRENCH KEOGH
Président
Conformément à la
réglementation sur la protection des données personnelles, vous disposez d’un
droit d’accès, de modification et de retrait de vos données. Pour toute
demande, vous pouvez nous contacter via l’adresse
hyundaivousrepond@hyundai.fr. Pour plus d’informations sur vos droits et
l’utilisation de vos données personnelles, vous pouvez consulter notre
politique relative à la […]
Violazioni come questa solitamente vengono sfruttate dai criminali informatici per compiere attacchi mirati. Per esempio, uno scenario banale ma frequente è la richiesta di denaro per qualche fantomatica pratica burocratica, fatta via SMS, mail o telefono e resa credibile dal fatto che il truffatore scrive o chiama citando correttamente e con precisione gli estremi e i dettagli del cliente-vittima. Se aveste comprato un’auto di una certa marca e vi arrivasse una mail di qualcuno che dice di rappresentare proprio quella marca e sa che modello avete appena acquistato, sareste abbastanza scettici da sospettare che si tratti di un impostore?
Un altro modo per sfruttare questi dati è l’estorsione ai danni dell’azienda. È capitato a Ferrari a fine marzo 2023: ignoti aggressori informatici hanno acquisito nomi, indirizzi fisici, indirizzi di mail e numeri telefonici di clienti di questa marca, che sono ovviamente molto interessanti sotto molti punti di vista, e poi hanno chiesto a Ferrari del denaro per non pubblicare questi dati. Secondo il comunicato ufficiale della casa costruttrice di Maranello, la somma imprecisata richiesta dai criminali non è stata pagata [e i clienti interessati sono stati allertati; non si sa se i loro dati siano stati poi diffusi come minacciato dagli aggressori].
Fonte aggiuntiva: BleepingComputer.