Mercedes Benz ha rilasciato i dettagli di una violazione dei dati che ha colpito clienti e potenziali acquirenti negli Stati Uniti.
La casa automobilistica di lusso ha affermato che un venditore ha informato la società l’11 giugno che le informazioni sono state “inavvertitamente rese accessibili su una piattaforma di cloud storage”. Sembra che un ricercatore di sicurezza di terze parti abbia lanciato l’allarme per primo.
Sebbene l’indagine iniziale fosse impostata per scoprire se fossero stati esposti 1,6 milioni di record unici, i risultati successivi hanno indicato che erano stati colpiti molti meno clienti e acquirenti interessati.
“Il venditore riferisce che le informazioni personali per queste persone (meno di 1.000) sono costituite principalmente da punteggi di credito auto-dichiarati, nonché da un numero molto limitato di numeri di patente di guida, numeri di previdenza sociale, informazioni sulla carta di credito e date di nascita”, annotato il comunicato.
“Per visualizzare le informazioni, sarebbe necessaria la conoscenza di programmi e strumenti software speciali: una ricerca su Internet non restituirebbe alcuna informazione contenuta in questi file”.
Queste persone hanno inserito le informazioni in questione sui siti Web dei concessionari e di Mercedes-Benz tra il 1° gennaio 2014 e il 19 giugno 2017.
Mercedes Benz USA ha confermato che nessuno dei suoi sistemi è stato compromesso nell’incidente e ha affermato che il problema è stato mitigato dal fornitore di sicurezza e non può ripetersi.
Sebbene sia improbabile che gli autori delle minacce siano riusciti a individuare e accedere alle informazioni, non è chiaro per quanto tempo siano state esposte.
Mercedes-Benz USA ha iniziato a informare le persone colpite e ha affermato che chiunque avesse i dati della carta di credito, la patente di guida oi numeri di previdenza sociale esposti riceverà un abbonamento gratuito di 24 mesi a un servizio di monitoraggio del credito.
Tom Garrubba, CISO presso la società di gestione del rischio Shared Assessments, ha accolto con favore l’azione tempestiva della casa automobilistica.
“Con tutti gli incidenti informatici che sono stati segnalati di recente, è piacevole vedere l’azione rapida intrapresa da Mercedes Benz USA nell’affrontare l’incidente con il proprio fornitore di servizi cloud e, in definitiva, con i propri clienti”, ha aggiunto.
“La violazione segnalata di 1000 clienti esistenti e potenziali tramite la piattaforma del loro fornitore di cloud storage dovrebbe aumentare la consapevolezza dell’importanza di un’adeguata due diligence e della comprensione di come i provider di servizi cloud stanno proteggendo i dati”.