Poltronesofà ha confermato di aver subito un attacco ransomware a fine ottobre. I clienti interessati hanno ricevuto un’email che elenca i dati rubati da ignoti cybercriminali. L’azienda di Valsamoggia (Bologna) ha prontamente interrotto l’accesso ai sistemi interni e avviato un’indagine con l’aiuto di specialisti in sicurezza informatica.
Poca qualità in cybersicurezza?
Poltronesofà ha comunicato che l’attacco ransomware è avvenuto il 27 ottobre. Ignoti cybercriminali (al momento non risulta nessuna rivendicazione ufficiale) sono riusciti ad accedere ai server dell’azienda e messo fuori uso le macchine virtuali con l’installazione di un ransomware. In pratica sono stati cifrati i file interrompendo il funzionamento dei sistemi informatici.
Come spesso accade in questi casi, i cybercriminali hanno rubato molti dati personali dei clienti. Nell’email inviata agli interessati viene specificato che si tratta di nome, cognome, codice fiscale, numero di telefono, indirizzo di residenza e indirizzo email. Sembrano salvi i dati di pagamento, ma l’indagine è ancora in corso.
Poltronesofà non ha specificato il numero di clienti, né se ha ricevuto una richiesta di riscatto. Solitamente viene minacciata la pubblicazione dei dati in caso di mancato pagamento. L’invio della comunicazione agli utenti è obbligatoria in base all’art. 34 del GDPR. È inoltre prevista la notifica al Garante della privacy entro 72 ore.
Nell’email sono scritti alcuni consigli per evitare di finire nelle trappole dei cybercriminali. I dati rubati possono essere sfruttati per vari tipi di attività illecite, tra cui email, SMS e telefonate ricevute da un presunto supporto clienti. Potrebbe essere chiesto di cliccare su un link e di inserire altri dati personali o dati di pagamento e credenziali di accesso all’account bancario.
Non ci sono al momento dettagli sulla “porta di ingresso” usata dai cybercriminali. Poltronesofà investe molto in spot pubblicitari. Forse è meglio usare una parte delle risorse per migliorare la sicurezza informatica. L’azienda ha ricevuto una sanzione di un milione di euro per pratica commerciale scorretta. Una seconda istruttoria è stata avviata all’inizio di febbraio.
