Ultimo aggiornamento: 2023/04/13 12:40.
Se avete una Hyundai acquistata in Italia o in Francia, o se avete anche solo partecipato recentemente a un test di guida di un’auto Hyundai in questi paesi, fate attenzione a eventuali messaggi e chiamate da parte di sedicenti rappresentanti dell'azienda.
Il ricercatore di sicurezza Troy Hunt segnala infatti una comunicazione
“riservata e confidenziale” da parte di Hyundai in italiano che
annuncia che “una terza parte non autorizzata ha avuto accesso” a
“e-mail, indirizzi e numeri di telefono” dei clienti e a
“dati dei veicoli (come i numeri di telaio)”. L’azienda aggiunge che ha “messo in atto tutte le misure” per arginare l’accesso e ha “informato tempestivamente il Garante per la Protezione dei Dati Personali.”
Data breach at @Hyundai_Italia: pic.twitter.com/oMMcFiG2Ud
— Troy Hunt (@troyhunt) April 11, 2023
Hyundai invita “a prestare particolare attenzione ed a verificare qualsiasi tentativo di contatto via e-mail, posta e/o sms che possa sembrare provenire da Hyundai Italia o da altre entità del Gruppo Hyundai” e raccomanda in particolare “di evitare di premere qualsivoglia link che possa essere contenuto nel tentativo di contatto”.
L’azienda offre anche un indirizzo di mail da usare “per qualsiasi verifica o supporto”: databreach@hyundai.it.
Questo è il testo integrale della comunicazione citata da Hunt:
Gentile [omissis]
a nome di Hyundai Motor Company Italy, sono spiacente di informarla che la nostra azienda ha recentemente appreso che una terza parte non autorizzata ha avuto accesso ad alcune informazioni contenute nel nostro database clienti.
Non appena ci è stato comunicato l'incidente abbiamo immediatamente avviato un'indagine e messo in atto tutte le misure per arginarlo. Ci siamo rivolti ai migliori specialisti di cybersecurity ed ai nostri avvocati per farci supportare nella gestione dell'incidente. Abbiamo informato tempestivamente il Garante per la Protezione dei Dati Personali e tra le varie misure di sicurezza adottate, abbiamo bloccato il server interessato e lo abbiamo rimosso definitivamente dalla rete. Stiamo continuando a lavorare con i nostri team IT per garantire che i nostri sistemi mantengano un elevato standard di sicurezza.
Le nostre indagini informatiche hanno confermato che alcuni dati dei nostri clienti potrebbero essere effettivamente stati impattati. Nello specifico, i dati comprendono informazioni di contatto (come e-mail, indirizzi e numeri di telefono) e dati dei veicoli (come i numeri di telaio). Non sono stati invece colpiti né dati finanziari, né numeri di identificazione ufficiali.
Sebbene non vi siano prove che i dati interessati siano stati utilizzati per scopi fraudolenti, per estrema cautela, la invitiamo a prestare particolare attenzione ed a verificare qualsiasi tentativo di contatto via e-mail, posta e/o sms che possa sembrare provenire da Hyundai Italia o da altre entità del Gruppo Hyundai. In particolare, le raccomandiamo di evitare di premere qualsivoglia link che possa essere contenuto nel tentativo di contatto che potrebbe ricevere.
Come sempre, può contattarci direttamente per qualsiasi verifica o supporto.
A questo proposito, abbiamo predisposto un canale dedicato che potrà raggiungere all'indirizzo databreach@hyundai.it.
Per noi di Hyundai Motor Company Italy la protezione dei dati personali dei nostri clienti è sempre stata una priorità assoluta.
Ci impegniamo ogni giorno per garantire i massimi standard di sicurezza ed assicurare una risposta pronta e esaustiva in caso di qualsiasi rischio, anche solo potenziale.
Hyundai Motor Company Italy si scusa per qualsiasi preoccupazione che questo incidente possa averle causato.
Anche Hyundai Motor France ha diffuso una comunicazione analoga [in francese, che mi è stata segnalata su Mastodon e fornisce un indirizzo di contatto (hyundaivousrepond@hyundai.fr)]:
Il testo francese (troncato in coda nello screenshot) è questo:
Chère Madame, Cher Monsieur,
Notre base de données clients a récemment fait l'objet d'une attaque informatique par un tiers non autorisé qui a accédé à certaines données personnelles de nos clients (nom, prénom, date de naissance, adresse email et postale, numéro de téléphone, numéro de client et numéro de châssis). Aucune donnée financière ou sensible n'a été affectée.
Des que nous en avons pris connaissance, nous avons diligenté une enquête interne avec des experts en informatique et nos avocats qui ont d'ores et déjà pris les mesures techniques afin d'y remédier. Parmi les diverses mesures techniques mises en œuvre, nous avons aussitôt bloqué le serveur concerné et l'avons définitivement retiré de notre réseau. Nous prenons également toutes les mesures complémentaires qui s'imposent afin d'éviter qu'un tel incident se reproduise. Sachez que cet incident a également fait l'objet d'une notification à la CNIL.
A ce stade, rien n'indique que vos données personnelles ont été réutilisées à des fins frauduleuses. Toutefois, nous vous demandons de rester vigilant dès maintenant et dans les mois qui viennent aux communications que vous pourriez recevoir de la part de Hyundai Motor France ou d'une autre entité du groupe Hyundai Motor et qui vous paraitraient suspectes.
Si un email, courrier et/ou SMS vous semble suspect, n'y répondez pas, ne cliquez pas sur les liens qu'il contient et prévenez-nous en nous écrivant à l'adresse suivante:
hyundaivousrepond@hyundai.fr
Nous vous indiquerons en retour si cette communication émane effectivement de Hyundai ou non.
Chez Hyundai Motor France, la protection des données personnelles de nos clients est une priorité absolue. Bien que cet incident soit indépendant de notre volonté, nous vous prions de bien vouloir accepter toutes nos excuses.
L'équipe Hyundai reste à votre entière disposition pour toute information
complémentaire (hyundaivousrepond@hyundai.fr)
Je vous prie d'agréer, Madame, Monsieur, l'expression de mes salutations distinguées
Lionel FRENCH KEOGH
Président
Conformément à la réglementation sur la protection des données personnelles, vous disposez d'un droit d'accès, de modification et de retrait de vos données. Pour toute demande, vous pouvez nous contacter via l'adresse hyundaivousrepond@hyundai.fr. Pour plus d'informations sur vos droits et l'utilisation de vos données personnelles, vous pouvez consulter notre politique relative à la [...]
Violazioni come questa solitamente vengono sfruttate dai criminali informatici per compiere attacchi mirati. Per esempio, uno scenario banale ma frequente è la richiesta di denaro per qualche fantomatica pratica burocratica, fatta via SMS, mail o telefono e resa credibile dal fatto che il truffatore scrive o chiama citando correttamente e con precisione gli estremi e i dettagli del cliente-vittima. Se aveste comprato un’auto di una certa marca e vi arrivasse una mail di qualcuno che dice di rappresentare proprio quella marca e sa che modello avete appena acquistato, sareste abbastanza scettici da sospettare che si tratti di un impostore?
Un altro modo per sfruttare questi dati è l’estorsione ai danni dell’azienda. È capitato a Ferrari a fine marzo 2023: ignoti aggressori informatici hanno acquisito nomi, indirizzi fisici, indirizzi di mail e numeri telefonici di clienti di questa marca, che sono ovviamente molto interessanti sotto molti punti di vista, e poi hanno chiesto a Ferrari del denaro per non pubblicare questi dati. Secondo il comunicato ufficiale della casa costruttrice di Maranello, la somma imprecisata richiesta dai criminali non è stata pagata [e i clienti interessati sono stati allertati; non si sa se i loro dati siano stati poi diffusi come minacciato dagli aggressori].
Fonte aggiuntiva: BleepingComputer.