Analisi dell’avviso di violazione dei dati di Samsung • TechCrunch

Ore prima di molto fine settimana festivo negli Stati Uniti, il gigante dell’elettronica Samsung ha annunciato che i suoi sistemi statunitensi sono stati violati un mese prima da hacker malintenzionati, che hanno fatto irruzione e sono scappati con una quantità di informazioni personali su un numero imprecisato di suoi clienti.

La violazione dei dati è probabilmente significativa. Samsung è una delle più grandi aziende tecnologiche con centinaia di milioni di proprietari di dispositivi e utenti in tutto il mondo. Ma l’avviso di violazione dei dati mal spiegato di Samsung, insieme al suo inspiegabile ritardo nella divulgazione della violazione dei dati, ha lasciato i clienti a leggere le foglie di tè e senza un’idea chiara di cosa possono fare per proteggersi, se non del tutto.

TechCrunch ha eseguito il markup e ha annotato l’avviso di violazione dei dati di Samsung 🖍️ con la nostra analisi di cosa significa e cosa Samsung tralascia.

I portavoce di Samsung, tramite la società di comunicazione di crisi Edelman, hanno rifiutato di rispondere alle domande che abbiamo inviato prima della pubblicazione, citando la “natura continua del nostro coordinamento con le forze dell’ordine”.

Cosa ha affermato Samsung nel suo avviso di violazione dei dati

Samsung sa che l’incidente di sicurezza è una violazione dei dati

Non tutti gli incidenti di sicurezza sono creati allo stesso modo. Gli hacker dannosi non sempre rubano i dati; dipende da come sono impostati i sistemi e la rete di un’azienda e da quanto lontano arrivano gli hacker. In questo caso, Samsung lo sa i dati sono stati “acquisiti” 🖍️ — o esfiltrato — dagli hacker.

Ricorda, questa è solo la divulgazione iniziale della violazione. Samsung sta fornendo il minimo di ciò che l’azienda ha da dirti. Il fatto che gli hacker abbiano avuto accesso alle informazioni personali dei clienti mostra che Samsung non ha protetto quei dati come avrebbe dovuto, o che gli hacker hanno avuto un accesso così profondo alla rete di Samsung da essere stati in grado di accedere ai dati dei clienti e presumibilmente ad altri file altamente sensibili. Questa è anche la seconda violazione di dati nota di Samsung quest’anno dopo che la squadra di hacker di Lapsus$ ha rubato il codice sorgente e altri documenti interni riservati dai sistemi dell’azienda a marzo, anche se non sono state prese informazioni sui clienti.

Le informazioni personali dei clienti sono state rubate

SAMSUNG dice nel suo avviso di violazione dei dati 🖍️ che gli hacker “in alcuni casi” hanno preso i nomi dei clienti, i contatti e le informazioni demografiche, la data di nascita e le informazioni sulla registrazione del prodotto. Ciò suggerisce che non tutti i clienti Samsung sono interessati, ma potrebbe anche significare che Samsung non sa ancora quanti dati sono stati rubati nella sua violazione dei dati.

Nomi e date di nascita sono informazioni personali. È meno chiaro quali altri dati siano stati rubati, ma gli indizi sono nell’informativa sulla privacy.

Samsung ha precedentemente dichiarato a TechCrunch che i clienti forniscono informazioni durante la registrazione dei propri dispositivi per accedere a “servizio e supporto, informazioni sulla garanzia, aggiornamenti software e offerte esclusive per l’acquisto di futuri prodotti Samsung”. Questi dati includono il modello del prodotto Samsung, la data di acquisto e l’identificatore univoco del dispositivo, come un numero IMEI per telefoni e ID pubblicitari, o numeri di serie per altri dispositivi come le smart TV.

Gli identificatori univoci sono progettati per essere pseudonimi in modo che, in caso di violazione dei dati, queste stringhe casuali di lettere e numeri non sarebbero di grande utilità. Ma gli identificatori univoci non sono completamente anonimi e possono essere combinati con altri dati per pubblicità mirata o per identificare gli utenti o tracciare l’attività online di qualcuno.

I dati demografici includono dati di geolocalizzazione precisi

L’avviso di violazione dei dati di Samsung include una vaga menzione di “informazioni demografiche” che sono state rubate dagli hacker. Samsung dice che raccoglie questa informazione demografica non specificata 🖍️ per “aiutare a fornire la migliore esperienza possibile con i nostri prodotti e servizi” o un altro modo per dire pubblicità mirata.

L’informativa sulla privacy statunitense di Samsung lo spiega in modo più esplicito. “Le reti pubblicitarie ci consentono di indirizzare i nostri messaggi agli utenti tenendo conto dei dati demografici, degli interessi dedotti dagli utenti e del contesto di navigazione. Queste reti possono tracciare le attività online degli utenti nel tempo raccogliendo informazioni attraverso mezzi automatizzati, incluso l’uso di cookie del browser, web beacon, pixel, identificatori di dispositivo, registri del server e altre tecnologie simili.

Samsung ha rifiutato di dire a TechCrunch quali dati specifici includono le “informazioni demografiche”, ma ci sono altri indizi nella politica sulla privacy separata dell’azienda per la pubblicità, a cui si collega nell’avviso di violazione dei dati e spiega cosa includono le informazioni demografiche.

L’elenco è lungo e dovresti prenderti il ​​tempo di leggerlo attentamente per te stesso. La versione ridotta è che Samsung raccoglie informazioni tecniche sul tuo telefono o altro dispositivo, su come usi il tuo dispositivo, come quali app hai installato e quali siti web visiti e come interagisci con gli annunci, che vengono utilizzati da inserzionisti e broker di dati per dedurre informazioni su di te. I dati possono anche includere i tuoi “dati di geolocalizzazione precisi”, che possono essere utilizzati per identificare dove vai e con chi incontri. Samsung afferma di raccogliere informazioni su ciò che guardi sulle sue smart TV, inclusi i canali e i programmi che hai guardato.

Samsung afferma inoltre che “potrebbe ottenere altri dati comportamentali e demografici da fonti di dati di terze parti affidabili”, il che significa che Samsung acquista dati da altre società e li combina con i propri archivi di informazioni sui clienti per saperne di più su di te, sempre per pubblicità mirata. Samsung non direbbe da quali società, come i broker di dati, ottiene questi dati.

Ma quegli stessi dati nelle mani di cattivi attori possono rivelare molto su una persona e sulle sue abitudini online.

Perché Samsung non dice nulla di tutto ciò nel suo avviso di violazione dei dati? Anche se i dati potrebbero non essere identificabili personalmente, sono comunque di natura personale poiché sono legati ai gusti, alle preferenze e alla nostra attività nel mondo reale, motivo per cui i dettagli essenziali di ciò che aziende come Samsung raccolgono su di te sono spesso sepolti nel politiche sulla privacy che nessuno legge (e di questo siamo tutti colpevoli).

Samsung ha rifiutato di dire se i dati provenienti da terze parti fossero stati compromessi nella sua violazione, ma non ha contestato le nostre caratterizzazioni quando i portavoce sono stati raggiunti prima della pubblicazione.

Ciò che Samsung non sta dicendo nel suo avviso di violazione dei dati

Samsung non dirà quanti clienti sono interessati

Samsung ha rifiutato di dire a TechCrunch quanti clienti sono interessati dalla violazione. Potrebbe essere che Samsung non lo sappia, il che è improbabile poiché ha già inviato un’e-mail ai clienti che ritiene siano interessati. O, cosa è più probabile 🖍️è che il numero di clienti interessati è così grande che Samsung non vuole che tu lo sappia perché l’azienda lo troverebbe imbarazzante.

Samsung ha centinaia di milioni di utenti, ma raramente si dice quanti clienti ha. Anche l’1% dei clienti interessati potrebbe comunque ammontare a milioni o decine di milioni di utenti interessati.

Non è chiaro il motivo per cui i numeri di previdenza sociale sono menzionati

L’avviso di violazione dei dati note vistose 🖍️ che la violazione “non ha avuto alcun impatto sui numeri di previdenza sociale o sui numeri di carte di credito e di debito”. A prima vista rassicurante, ma la formulazione non è chiara. TechCrunch ha chiesto a Samsung se raccoglie e archivia i numeri di previdenza sociale e che questi dati non sono interessati, ma la società ha rifiutato di dire, solo che il problema “non ha avuto alcun impatto” sui numeri di previdenza sociale. Samsung raccoglie i numeri di previdenza sociale come parte delle sue opzioni di finanziamento e come requisito per gli utenti di Samsung Money.

Perché ci è voluto un mese per avvisare i clienti?

Guardando la cronologia della violazione 🖍️Samsung afferma che gli hacker hanno rubato i dati a “fine luglio 2022”, che una lettura generosa potrebbe interpretare come qualsiasi punto dopo la metà di luglio. Samsung potrebbe rivelare la data, se lo conosce. Vale anche la pena notare che questa è la data in cui Samsung afferma che i dati sono stati esfiltrati dalla sua rete e questo non include quanto tempo gli hacker hanno trascorso nei sistemi Samsung prima di essere finalmente scoperti. Ha scoperto l’esfiltrazione dei dati il ​​4 agosto, il che significa che Samsung non ha saputo per settimane che i dati dei clienti erano stati rubati.

Per quanto riguarda la divulgazione della violazione un mese dopo, poche ore prima della chiusura dell’attività di un venerdì prima di un lungo weekend di vacanza? Beh, questo è solo un pessimo PR.

Samsung ha aggiornato la sua politica sulla privacy quando ha rivelato la sua violazione

Lo stesso giorno in cui ha annunciato la sua violazione dei dati, Samsung ha anche diffuso una nuova politica sulla privacy ai suoi utenti. Grazie a un lettore che ha avvisato TechCrunch di ciò, la nuova politica ora afferma esplicitamente 🖍️ che Samsung può utilizzare la “geolocalizzazione precisa” di un cliente per il marketing e la pubblicità con il consenso dell’utente. La nuova politica ora indica anche 🖍️ per quanto tempo Samsung archivia i dati condivisi dagli utenti dalla funzione Quick Share. Samsung afferma che potrebbe “raccogliere i contenuti che condividi, che rimarranno disponibili per 3 giorni”.

TechCrunch ha chiesto a Samsung come definisce ciò che definisce come consenso dell’utente, ma un portavoce non ha voluto dirlo. Samsung non ha detto per quale motivo ha spinto una nuova politica sulla privacy, ma ha affermato che l’aggiornamento non era “correlato” all’incidente ed era stato precedentemente pianificato.


Se conosci di più sulla violazione dei dati di Samsung o lavori in Samsung, puoi contattare questo autore tramite Signal al numero +1 646.755.8849 o tramite SecureDrop.

Leave a Comment

Your email address will not be published.