Il tuo Dna in vendita al mercato nero

Hacker’s dictionary. La rubrica settimanale a cura di Arturo Di Corinto

di ARTURO DI CORINTO per Il Manifesto del 13 Giugno 2018

Oggi con soli 69 euro si può risalire alla propria origine etnica e trovare dei parenti che non sappiamo di avere grazie al test del Dna.

Almeno questo è quello che dice di poter fare il sito MyHeritage, in grado perfino di darci informazioni sui nostri antenati cercandone il nome in un gigantesco database di documenti storici e giornali d’epoca. Il nostro albero genealogico invece può essere ricostruito gratis online avvisandoci via email delle corrispondenze trovate di volta in volta.

Il sito My Heritage è stato hackerato.

Pochi giorni fa gli indirizzi e-mail e le password del suo database clienti, circa 92 milioni di account, registrati fino al 26 ottobre 2017, sono stati trovati su un server privato.

In Italia non si è praticamente saputo, ma la notizia è del 5 giugno scorso.

In gergo tecnico si chiama databreach. Un databreach è la violazione di una base di dati che contiene informazioni di ogni tipo.

Le cronache giornalistiche riportano che la maggior parte dei database dei servizi gratuiti che usiamo sono stati violati.

Famoso il caso del sito di Ashley Madison per gli incontri tra chi vuole concedersi una scappatella amorosa, quello di Snapchat dove un finto capo d’azienda ha chiesto e ottenuto dai suoi dipendenti tutti i dati anagrafici e di sapere perfino quanto prendevano di stipendio.

Poi ci sono i noti databreach di Yahoo!, Hotmail, Adobe, Dropbox, Twitter, eccetera.

In Italia a fare rumore sono state le violazioni di database bancari come quelli di Intesa e Unipol e quella relativa a 400 mila profili di risparmiatori Unicredit che avevano chiesto un piccolo prestito.

L’ultimo in ordine di tempo è quello che abbiamo raccontato per primi proprio in questa rubrica quando Anonymous ha ottenuto nomi, email e password di 26.000 tra docenti e funzionari del Miur.

Può succedere a tutti.

Il databreach dipende da una cattiva configurazione di hardware e software, dalla mancata manutenzione, da un errore umano. Ogni databreach ha sempre una cosa in comune: chi lo subisce, lo nega.

Ma questa strategia dello struzzo non è l’unica possibile.

Infatti l’amministratore delegato di My Heritage, saputo della violazione, ha subito spiegato agli utenti quello che avevano scoperto, quali misure stavano adottando per affrontare il problema e come proteggevano i dati dei clienti suggerendo un immediato cambiamento delle password per evitare che qualche malintenzionato potesse sfruttare l’accaduto.

Dall’analisi del Dna si può risalire a difetti genetici e alla predisposizione verso specifiche malattie e farti rifiutare l’assicurazione o peggio.

In genere accade il contrario, chi è colpito da un databreach fa tre cose: nega che ciò comporti una crisi reputazionale dell’azienda, la rappresenta minimizzandola, la esorcizza.

Questo viene fatto utilizzando diverse retoriche comunicative, e alla fine si traduce in un arroccamento sulle proprie posizioni.

E tuttavia questo accade perché non si è mai preparati alla crisi che viene da un danno di reputazione, sopratutto quando il comportamento dei responsabili è considerato doloso oppure omissivo.

Ma il danno raddoppia se non si comunica con onestà e sincerità l’accaduto.

Con l’entrata in vigore del Regolamento europeo sulla protezione dei dati le aziende sono oggi obbligate a notificare il databreach entro 72 ore, e a tutti gli interessati se la violazione mette a rischio dei diritti fondamentali.

Ma l’unico vero antidoto è essere preparati a gestire la crisi, perché la domanda non è se accadrà, ma quando.