Apro questo thread in quanto mi pare non ce ne siano ancora di correlati a quella che è la mia situazione, pur essendo ormai comune, e quindi magari può essere utile raccogliere opinioni e confrontarsi per capire quale siano le azioni da intraprendere quando ci si trova in situazioni come questa o similari. Non farò riferimento al nome del portale, che tuttavia, per evitare di creare ansie, ci tengo a dire che è quasi defunto, in ogni caso per niente popolare anche quando era "attivo". Ad oggi non sembra neanche avere una lista di articoli in vendita quindi direi che si può definire defunto, anche se la pagina è raggiungibile.
La situazione è questa, avevo acquistato un articolo di cancelleria qualche anno fa, niente di costoso, e per l'acquisto ho anche fatto la registrazione inserendo purtroppo ingenuamente più dati di quelli che sono di solito richiesti, ovvero codice fiscale, indirizzo di residenza, ecc. Un mese fa, guardando sul password manager ho notato che la password relativa a questo account era segnalata come "trafugata". Dopo un rapido controllo del sito, e delle meccaniche di gestione dell'account, ho notato come le password siano memorizzate in chiaro nel database di gestione degli account🤦♂️, e per giunta sia impossibile modificare sia la password sia qualsiasi altro dato personale dell'account, rendendo quindi anche impossibile modificare temporaneamente i dati personali associati all'account (es: indirizzo residenza, codice fiscale), in modo da evitare che chi sia in possesso delle password possa accedervi.
Dopo aver constatato quanto detto in precedenza ho proceduto a inviare richiesta di cancellazione dell'account all'indirizzo dedicato alle richieste relative a gestione dei dati personali (quello dedicato alle richieste GDPR), oltre a segnalare il probabile data breach. Dopo circa un mese tuttavia non ho ricevuto ancora nessuna risposta, e l'account è ancora attivo, con tutti i dati in bella vista a chi volesse accedervi.
PS 1: la password era stata generata randomicamente, e consiste in una sequenza di caratteri alfanumerici casuali, e non è stata usata in altri account, rendendo quindi praticamente certo che il data breach sia di questo portale, anche supportato dall'evidente pratica abominevole di conservare le password in chiaro.
A questo punto mi chiedo se a qualcuno sia capitata una situazione simile, e nel caso come avete agito e/o come procedereste voi, considerando che l'extrema ratio sarebbe esposto al garante per la privacy
