Data breach Subito.it - 11/10/2023

MMarco25 · 26 ott 2023

Gentile nomeutente

desideriamo informarti che lo scorso 11 ottobre un nostro partner ha rilevato e bloccato un accesso non autorizzato ai suoi sistemi dove sono ospitati i dati personali dei nostri utenti. Le informazioni presenti nei sistemi interessati, la cui integrità e disponibilità non sono state impattate in alcun modo, sono dati anagrafici (nome e cognome) e dati di contatto (indirizzo e numero di telefono). Precisiamo che non sono stati in alcun modo interessati dati di pagamento (es. carte di credito) e dati di autenticazione, quali username e password.

In collaborazione con il nostro partner, abbiamo subito attuato tutte le misure necessarie per bloccare l'accesso non autorizzato e porvi rimedio. Tra le misure adottate segnaliamo anche la notifica di quanto accaduto al Garante per la Protezione dei Dati Personali.
A conclusione della nostra indagine non è richiesta alcuna azione da parte tua, ma abbiamo preferito informarti per trasparenza, ma anche affinché tu sia ancora più consapevole in caso di possibili iniziative fraudolente (tra cui e-mail o telefonate di dubbia provenienza o con contenuto sospetto). Ad esempio, il team di Subito non chiede mai via e-mail, SMS o telefonicamente di comunicare le proprie credenziali di accesso ai servizi (username/password) o i riferimenti dei propri metodi di pagamento elettronici (es. numero carta di credito): diffida di chi, a nome nostro o di altre aziende, dovesse richiederli.

Confermandoti il nostro impegno a proteggere i nostri utenti e a rafforzare le misure poste a tutela dei loro dati, ti invitiamo, per qualsiasi dubbio o chiarimento a contattare il nostro Responsabile per la Protezione dei Dati scrivendo all'indirizzo privacy@aiuto.subito.it.

Grazie per l'attenzione e a presto,

Il team di Subito

La comunicazione è intenzionalmente poco chiara per confondere gli utenti, non si capisce se i dati anagrafici e di contatto siano stati effettivamente sottratti ma direi di sì altrimenti non avrebbero dovuto notificare il Garante e con buone probabilità non avrebbero informato gli utenti. Inoltre confermano l'impatto sulla sola integrità e disponibilità dei dati, non la confidenzialità. Nutro dubbi nei confronti di username e password. Sospetto siano stati sottratti anche questi ma scrivono di no perché presumibilmente sotto forma di hash.

Fonte: Troy Hunt

[cancellato] · 26 ott 2023

Marco25 on si capisce se i dati anagrafici e di contatto siano stati effettivamente sottratti ma direi di

Se hanno avuto accesso probabilmente li avranno sottratti. Che non siano stati modificati o cancellati per gli utenti è ben magra consolazione. Sì, sono le solite comunicazioni fuorvianti. Mi chiedo quale sia il partner.

Marco25 A conclusione della nostra indagine non è richiesta alcuna azione da parte tua,

A parte cambiare nome, cognome, indirizzo e numero di telefono.

FERRARI81 · 26 ott 2023

Marco25 Nutro dubbi nei confronti di username e password. Sospetto siano stati sottratti anche questi ma scrivono di no perché presumibilmente sotto forma di hash.

Sperando che tutti usino (almeno) un hash per memorizzare le password, dicono chiaramente che quei dati non sono impattati. Una volta fatta la comunicazione al Garante, non avrebbe senso omettere volontariamente oggetti del breach

edofullo · 26 ott 2023

Marco25 ha rilevato e bloccato un accesso non autorizzato ai suoi sistemi

Rilevato e bloccato, che vuol dire? Se è stato "bloccato" perchè mandare la comunicazione?

Marco25 la cui integrità

Benissimo, così sappiamo che se han rubato i dati, han rubato quelli giusti.

Marco25 disponibilità

Ringraziamoli per non averli cancellati... ma la riservatezza, cioè l'unica cosa che conta per il cliente?

Marco25 In collaborazione con il nostro partner, abbiamo subito attuato tutte le misure necessarie per bloccare l'accesso non autorizzato e porvi rimedio.

CI mancherebbe altro

Marco25 A conclusione della nostra indagine non è richiesta alcuna azione da parte tua, ma abbiamo preferito informarti per trasparenza, ma anche affinché tu sia ancora più consapevole

fuffa inutile

Marco25 tra cui e-mail o telefonate di dubbia provenienza o con contenuto sospetto

Ah, quindi i dati se li son presi... ma l'attacco non era stato "bloccato"?

Marco25 d esempio, il team di Subito non chiede mai via e-mail, SMS o telefonicamente di comunicare le proprie credenziali di accesso ai servizi (username/password) o i riferimenti dei propri metodi di pagamento elettronici (es. numero carta di credito): diffida di chi, a nome nostro o di altre aziende, dovesse richiederli.

fuffa per farci sembrare belli e soprattutto honesti solo per aver seguito la legge, non fossimo stati obbligati non ti avremmo manco avvertito che ora il tuo numero di telefono e la tua mail sono in possesso di chiunque.

E vabbè, nessuno dice responsabilmente cosa è successo e cosa/se sono stati sottratti dati.

MMarco25 · 26 ott 2023

FERRARI81 Sperando che tutti usino (almeno) un hash per memorizzare le password

Anche se calcolano hash la maggior parte degli utenti utilizza password deboli e le riutilizza su altri siti quindi sono impattati lo stesso.

FERRARI81 Una volta fatta la comunicazione al Garante, non avrebbe senso omettere volontariamente oggetti del breach

Perché no? Non puoi controllare ed probabilmente puoi sostenere senza problemi che le password non sono state sottratte nel caso avessero avuto accesso “solo” agli hash.

Fondamentalmente hanno omesso perché non è chiaro in maniera inequivocabile.

edofullo Ah, quindi i dati se li son presi... ma l'attacco non era stato "bloccato"?

Sì sono entrati ma la cavalleria li ha fermati prima che mettessero in sacco alle carte di credito che puoi bloccare in un millisecondo 24/7.

walt · 26 ott 2023

Premesso che nel mio caso il profilo Subito.it contiene "soltanto" nome proprio ed indirizzo e-mail (quello principale, sigh!) e che la password come da mia prassi è casuale e differente da quelle degli altri account, concordo nel sottolineare la scarsa trasparenza ancora una volta dimostrata in uno scenario del genere...

A latere segnalo che nel login eseguito poco fa mi è stato richiesto un codice di sicurezza:

Poiché non accedevo da tempo, vi risulta che la procedura fosse già in essere oppure si può ipotizzare che sia correlata al recente evento?

Ggraz · 26 ott 2023

edofullo E vabbè, nessuno dice responsabilmente cosa è successo e cosa/se sono stati sottratti dati.

Probabilmente hanno solo intercettato l'accesso, ma non sanno nulla di quello che è realmente successo e se e cosa è stato sottratto.
In Italia la cyber security è ancora vista come un semplice costo e in pochi investono. Siamo il fanalino di coda dei paesi più industrializzati anche per le poche competenze.

[cancellato] · 26 ott 2023

Mi chiedo se ha a che fare con l'attacco subito da Okta.

ochoalmocho · 27 ott 2023

walt
Ti confermo che anche a me ieri è stato chiesto il codice di sicurezza per poter accedere. Poi per curiosità ho provato dal PC e anche lì stessa richiesta. Non credo sia un caso.

hento · 27 ott 2023

ochoalmocho anche a me ieri è stato chiesto il codice di sicurezza per poter accedere

Nessun codice richiesto, ho cambiato la password ieri.

walt · 27 ott 2023

Mistero della fede...

Bbm182 · 27 ott 2023

Ho provato l'accesso e non ho avuto alcuna richiesta. Ho cambiato password...
Purtroppo anch'io ho usato la mia mail principale.

Wwonder · 27 ott 2023

Presumo siano stati sottratti i dati (in chiaro) sensibili dell'utente, quali nome cognome, numero di telefono, email.
Quindi in arrivo ci sarà spam postale e telefonico. Grazie Subito.it

A-da-coddai · 27 ott 2023

hento cambiata oggi, idem nessun codice da inserire

walt il tempo passa e prosegue l'indifferenza riguardo la protezione dei dati dei loro clienti da parte delle società.

wonder che si aggiungeranno a quelli già in circolazione...

MMarco25 · 27 ott 2023

A-da-coddai che si aggiungeranno a quelli già in circolazione...

Secondo i rumor, in un prossimo futuro, inserendo una qualsiasi email in https://haveibeenpwned.com/, la risposta sarà automaticamente Yes.

tomotomocacchiocacchio · 27 ott 2023

Marco25
sarà
Oh no — pwned!

Ggiuzdonk · 27 ott 2023

Contattando il DPO (che mi fa proprio pensare che il "DPO" sia un filtro sulla loro zendesk), ho ricevuto solo risposte generiche. Io ho chiesto esplicitamente se indirizzo fisico e indirizzo email fossero presenti e collegati nel breach, e ho ricevuto questo:

L’evento ha coinvolto un nostro partner a cui trasmettiamo i dati degli utenti per l’erogazione dei servizi di spedizione.
Ci teniamo quindi a rassicurarti che la violazione non riguarda la nostra piattaforma e che non è stato effettuato alcun accesso alla tua Area Riservata e ai dati in essa contenuti, tra cui username e password e informazioni di pagamento.
Visto che l’evento non ha coinvolto username e password, non occorre effettuare la modifica della password.
Presta comunque maggiore attenzione a telefonate e/o e-mail che potrebbero avere un contenuto sospetto o per mezzo delle quali potrebbero richiederti informazioni su credenziali di accesso ai servizi e/o metodi di pagamento elettronici.
Restiamo a tua disposizione,
Il team di Subito

Onestamente mi interessa minimamente del fatto di username e password, ma essendo un "partner di spedizione" mi fa pensare che l'indirizzo fisico sia effettivamente tra i dati raccolti, da notare poi la generica dicitura "indirizzo" nell'OP. Grave invece che dall'email si può risalire all'indirizzo fisico, email che tra l'altro non si può neanche cambiare.

Almeno per quanto riguarda simswapping probabilmente hanno ottenuto l'ultimo numero salvato che è uno di quelle SIM temporanee che sto provando ultimamente, questo se non hanno accesso a tutto lo storico delle spedizioni. Probabilmente chiedendo riceverei soltanto un'altra risposta precompilata.