L'identità: Storie, volti e voci al femminile Poltrone Rosse



Esteri

Così un finto tecnico IT ha violato i database di un famoso studio legale di Philadelphia

di Cinzia Rolli -


DALLA NOSTRA INVIATA

Uno degli studi legali più importanti con sede principale in Philadelphia – e altri quindici uffici in tutto il Paese – è stato colpito da due class action federali coordinate presso la Corte Distrettuale degli Stati Uniti per il Distretto Orientale della Pennsylvania.

Dei cyber criminali hanno ingannato un avvocato del rinomato ufficio legale degli Stati Uniti facendogli condividere le informazioni private di 57.554 clienti,  e non solo, passati ed attuali.

Si è trattato di un attacco di ingegneria sociale tramite vishing (truffa telefonica). Un malvivente ha telefonato ad un avvocato dello studio fingendosi un tecnico del reparto informatico (IT) interno. Manipolando il professionista, lo ha convinto a caricare file sensibili estratti dai database aziendali su un account google drive esterno gestito dai malfattori.

Lo studio ha dichiarato di aver rintracciato l’anomalia entro due ore, mettendo il dispositivo dell’avvocato offline e cancellando i file dal drive esterno. Tuttavia i dati erano ormai stati esposti nonostante l’immediata denuncia alle forze dell’ordine.

I querelanti accusano il colosso forense di negligenza grave, di non aver istruito adeguatamente il personale sulla cyber security e di aver tardato a notificare l’accaduto. L’incidente è avvenuto a maggio, ma i clienti hanno iniziato a ricevere gli avvisi solo a fine giugno.

I dati rubati riguardano nomi completi, date di nascita, indirizzi di residenza, numeri di telefono e indirizzi e-mail. Documenti e codici governativi come numeri di previdenza sociale (social security numbers) e numeri di patente di guida. Informazioni economiche e cifre di conti correnti bancari, dettagli sulle transazioni e coordinate finanziarie associate ai clienti. Cartelle cliniche  personali e codici delle polizze di assicurazione sanitaria.

L’organizzazione legale coinvolta, inoltre, ha offerto a tutte le oltre 57.000 persone danneggiate un periodo di accesso gratuito (tra i 12 e i 24 mesi) a una piattaforma di protezione dell’identità.

L’ufficio ha fatto sapere di aver iniziato una collaborazione  con professionisti e consulenti esterni specializzati in cyber security per analizzare i punti deboli dei propri sistemi e rafforzare le infrastrutture informatiche.

Lo studio legale ha avviato anche un programma di addestramento speciale e obbligatorio contro il “social engineering” (ingegneria sociale) rivolto a tutti gli avvocati e al personale amministrativo, insegnando loro a riconoscere le finte chiamate di supporto tecnico.

I querelanti esigono un indennizzo per i danni attuali e futuri. Questo include il rimborso del tempo e del denaro già spesi per bloccare carte o controllare i conti, il risarcimento per lo stress subito e i danni punitivi contro lo studio per la presunta negligenza.

I loro legali hanno dichiarato infatti che: “Prima di questa violazione dei dati, le informazioni private dei clienti attuali, passati e probabili erano esattamente questo: private. Ora non più”.

Un semplice monitoraggio del credito temporaneo non basta a risarcire i potenziali “danni a vita” derivanti dall’accaduto.

Un portavoce del blasonato studio ha ricordato che la violazione delle informazioni è solo un “incidente limitato” causato da un inganno telefonico ai danni di un solo avvocato.

Lo studio ha sottolineato la tempestiva rimozione dei dati caricati su un drive esterno e ha definito “priva di fondamento” la class action intentata, annunciando un’energica difesa in tribunale.

Le cause collettive per violazioni della cyber sicurezza sono sempre più comuni.

Comcast, multinazionale statunitense attiva nei settori delle telecomunicazioni, dei media e dell’intrattenimento, ha accettato di pagare 117,5 milioni di dollari per risolvere due dozzine di cause relative ad un incidente sulla sicurezza del 2023. E l’Università della Pennsylvania è stata citata in giudizio più volte per una violazione dei dati che ha coinvolto meno di dieci persone.

Questo tipo di controversie sono anche molto redditizie per gli avvocati che possono arrivare a guadagnare fino a un terzo dell’importo dell’accordo.

Quanto accaduto deve farci riflettere sulla necessità di incrementare la cultura della sicurezza digitale puntando anche sugli aspetti psicologici delle potenziali vittime e non solo sulla solidità del software.


Torna alle notizie in home