giovedì 14 aprile 2011

Italia: Licenziata, firma la vendetta con la password

Ambito: servizi
Tipologia: violazione della sicurezza

Era stata licenziata, ma le sue credenziali non erano state ancora cancellata. La dipendente di un commercialista di Catania ha così ingenuamente pensato di usare il proprio nome e la propria password per vendicare lo sgarbo subito.
Maggiori informazioni su WebNews

mercoledì 13 aprile 2011

Italia: arrestato ex-consulente dei pm di Bari per accesso informatico illecito

Ambito: pubblica sicurezza
Tipologia: fuga di informazioni confidenziali

Quando una mancata applicazione delle più elementari norme di sicurezza può condurre a risvolti anche politici interessanti...

Secondo un articolo del Giornale, un ex-consulente informatico della procura di Bari, ora giornalista del Corriere della Sera, avrebbe avuto accessonell'agosto del 2009 ai sistemi doev erano conservate le informazioni dell'inchiesta condotta dal pm Pino Scelsi: utilizzando le password ancora in suo possesso da quando si era dimesso un anno e mezzo prima dalla società che gestiva la sicurezza della rete della procura barese, Andrea Morrone pare essere la talpa che in quell'anno fece uscire molti documenti riservati per poi passarli alla stampa.
Lo scopo sembra essere stato esclusivamente di tipo professionale: Morrone desiderava un'assunzione da parte del Corriere del Mezzogiorno, fatto che si è verificato nel febbraio del 2010.
Le indagini sono arrivate al nome di Morrone poiché i verbali pubblicati erano conservati nel pc del magistrato e, secondo i log, il 4 agosto qualcuno aveva consultato il contenuto di una cartella contenente i documenti degli interrogatori del caso Tarantini. Incrociando poi i tabulati delle telefonate e la posizione di Morrone individuabile dalle celle di copertura del suo telefono cellulare, gli inquirenti hanno capito che l'ex consulente aveva ancora accesso sia a una stanza del piano interrato dell'edificio della procura sia ai sistemi informativi ivi presenti.


Fonte: Il Giornale

martedì 12 aprile 2011

Irlanda: assicurazione perde nastro con i dati di 50.000 clienti

Ambito: assicurazioni
Tipologia: fuga di informazioni personali,

Phoenix Ireland, una compagnia assicurativa irlandese, ha ammesso di aver smarrito i dettagli personali di 50.000 clienti attuali e del passato, nonché di alcuni prospect che avevano avuto contatti con l'azienda.
Le informazioni, in formato non crittografato, erano conservate in un nastro che è andato smarrito e riguardavano nomi, indirizzi e dettagli dei conti correnti bancari.
Un portavoce della società ha affermato che "il rischio è da considerarsi ridotto in parte perché per un hacker è estremamente difficile distillare le informazioni dal nastro, che non contiene alcun riferimento esterno alla Phoenix." (Nota: la società sembra avere scarsa fiducia sulle potenzialità degli esperti informatici che spesso vengono qualificati col termine "hacker").
Il portavoce afferma anche che "la societànon é nemmeno convinta che il nastro sia stato effettivamente creato. Semplicemente esso non è giunto a destinazione all'ufficio che lo aspettava." (Nota: suggerisco di chiedere informazioni all'ufficio che lo doveva spedire, per avere maggiori ragguagli sulla sua esistenza).

Fonte: Irish Times

lunedì 11 aprile 2011

Regno Unito: poliziotto del Lancashire sospeso per violazione

Ambito: pubblica sicurezza
Tipologia: fuga di informazioni personali

L'acccesso ai dati privati di colleghi, vicini di casa e membri della famiglia, pare essere diventata una pratica comune negli uffici della polizia del Lancashire: negli ultimi 3 anni si sono verificate 84 violazioni della privacy che hanno condotto a 13 licenziamenti, 7 dimissioni e a numerosi richiami ufficiali.
Le informazioni ottenute sono spesso state utilizzate per scopi personali o passate a esterni.
Un portavoce del Lancashire Constabulary, la prefettura locale, ha affermato che tutti gli accessi alle informazioni vengono sottoposti a un audit per verificare che siano stati effettuati per scopi di polizia e che le informazioni vengano utilizzate in modo adeguato e per l'applicazione della legge.

Fonte: BigBrotherWatch via Office of Inadequate Security

mercoledì 6 aprile 2011

Regno Unito: divulgati erroneamente dati lasciati incustoditi

Ambito: amministrazione pubblica
Tipologia: fuga di informazioni personali

L'Information Commissioner’s Office (ICO), l'ente britannico che sorveglia l'implementazione del Data Protection Act, ha sanzionato la città di York a causa della scarsa qualità dei controlli e della mancanza di supervisione da parte del management.
La causa scatenante della sanzione è stato l'invio a un entità esterna, da parte di un dipendente, di alcuni documenti contenenti dati personali trovati su una fotocopiatrice.
Secondo una dei dirigenti dell'ICO, Sally-Anne Poole, questo caso denota la necessità, da parte dei dipendenti, di assumersi la responsabilità e la proprietà delle attività da loro svolte inerenti il trattamento di dati personali: se infatti il documento non fosse stato lasciato sulla fotocopiatrice e fosse stato controllato accuratamente prima di essere inviato, non si sarebbe creata alcuna violazione.


Fonte: ITPRO

giovedì 31 marzo 2011

Italia: quando le referenze del candidato evitano i controlli pre-assunzione

Ambito: intrattenimento
Tipologia: frode aziendale

Come ben sappiamo, i controlli preventivi da effettuare prima di assumere un candidato hanno lo scopo di individuare eventuali criticità che potrebbero mettere a rischio l'azienda una volta assunta la persona scelta.
Che si svolgano mediante l'esame del casellario giudiziale o con una telefonata alle referenze citate nel curriculum, sono una buona pratica per valutare il rischio associabile a ogni dipendente.
Ebbene, un giovane calabrese, studente a Pescara, ha pensato di ovviare a questo millantando (ebbene sì) nel suo curriculum un'affiliazione alla 'ndrangheta.
Purtroppo per lui l'imprenditore che doveva assumere l'ha denunciato.
Trovate i particolari su newnotizie.

Fonte: Fraudologia

USA: dati di carte di credito di membri IEEE potenzialmente compromessi


IEEE credit cards Ambito: industria elettronica
Tipologia: fuga di informazioni personali,

L'IEEE, la più grande associazione di professionisti della tecnologia, ha comunicato che i dati personali e delle carte di credito di 800 dei suoi membri potrebbero essere stati compromessi da una fuga di informazioni.
Sebbene lo scopo e la sorgente dei dati siano ancora sconosciuti, IEEE ha allertato i membri coinvolti per evitare attacchi sofisticati basati sulla social engineering.
L'intrusione nel database dell'IEEE è stata individuata nel dicembre 2010: un'analisi forense successiva ha rivelato che un file contenente le informazioni sulle carte di credito di alcuni membri era stato cancellato il mese prima. Chi ha avuto accesso a quel file potrebbe aver sottratto i dati delle carte e altre informazioni sensibili.
IEEE non ha trovato evidenze che i dati delle carte di credito siano stati fatti uscire dai suoi sistemi, e quindi la notifica ai membri è da considerarsi una misura di precauzione.

Fonte: threat post