Blog

Ex dipendente e nuova azienda condannati per furto dati riservati

Il lavoratore che nel passaggio da un'azienda a un'altra trasferisce informazioni riservate è colpevole e risponde di furto di informazioni riservate
Al contempo anche l'azienda che lo assume, ottiene un indubbio vantaggio ed è quindi responsabile per le informazioni trasferite sui suoi computer e può essere condannata se le informazioni vengono utilizzate per svolgere attività in suo favore.
Questo è quanto ha stabilito il Tribunale di Milano, sezione specializzata impresa, con la sentenza 8246/2019. L'analisi di Matteo Prioschi su Il Sole 24 ORE 
Come fare ad accorgersi un dipendente infedele che trafuga informazioni in favore di un'altra azienda?
Una analisi forense dei dispositivi utilizzati dal dipendente infedele, sia quanto è ancora in azienda o dopo la sua uscita,  ci fornisce una visione dettagliata dell'utilizzo effettuato dal dipendente: potrebb aver aver copiato di dati su un disco usb, averli inviati per email, o via webmail, o addirittura aver usato dropbox, gdrive o onedrive per sposatare moli di informazioni riservate aziendali.

Una analisi forense, tempestiva, che porta ad una perizia informatica forense, svolta da informatici forensi accreditati, permette di ricostruire fedelmente quanto fatto dal soggetto permettendo di identificare e isolare i comportamenti infedeli o addirittura di danneggiamento che potrebbe aver messo in atto.
In caso di dubbi su dipendenti infedeli, consultatici sapremo dare risposte ai vostri interrogativi

coffeecapp
Coffee cApp, un'App............

...insecurity by default & by design

 

 

 

Prendere il caffè con una App è chiaramente molto comodo: non hai bisogno di spiccioli, non hai il problema di perdere la chiavetta e se finisce il credito ricarichi rapidamente magari con Paypall Nell'usare una di queste App, Coffe cApp, salta subito agli occhi che, come qualche anno fa, bisogna registrarsi e non è possibile utilizzare la propria utenza Google o Facebook.
Usare le api di autenticazione di Google, Facebook etc... può non piacere ad alcuni programmatori e agli integralisti della privacy ma certamente ci aspettiamo che queste API siano abbastanza sicure.
Implementare un procedimento di registrazione non è complesso ma si rischia di scivolare su delle bucce di banana. Proprio riguardo a quest'App abbiamo trovato un articolo molto interessante.
https://medium.com/@fs0c131y/nothing-is-safe-in-a-hacker-conference-not-even-the-coffee-machine-8501bf14f41a. Dall'articolo risulta chiaramente che username e password passano in chiaro, no hash di nessun tipo, che è possibile fare brute force e gussing sul PIN, insomma quanto di peggio si possa immaginare dal punto di vista della sicurezza. L'autore non lo ha scritto ma personalmente sono convinto che sia abbastanza agevole dire alla macchinetta del caffè che mi merito un caffè grautito....occhio la stessa App viene usata anche per i distributori di merendine, certamente più costose del caffè:-)

il rischio non è solo per l'esercente che potrebbe vedere vuoti i distributori senza incassare un euro, e già questo sarebbe grave, ma c'è un rischio alto anche per l'utenza di questi distributori automatici, senza adeguati meccanismi di protezione e salvaguardia delle credenziali ignoti potrebbero consumare caffè e bibite a nostre spese... e questo per la reputation di quest'azienda sarebbe ben peggiore del primo rischio.

A oltre un anno dall'entrata in vigore del GDPR siamo all'assurdo di dover constatare l'applicazione del principio Insecurity By Default & by Design, c'è ancora molta strada da fare, nel 2019 non si può vedere passare le password in chiaro, mancano le basi e la sensibilità ai temi della sicurezza dei dati.

Bheè viene da domandarsi se è stato fatto almento effettuato un test di sicurezza, un vulnerability assessment o un penetratin test, prima di mettere in produzione una tale infrastruttura

 

in ogni caso se state per portare in produzione un'App o un altra soluzione tecnogica consultatici per una verifica di sicurezza: verifica codice sicuro, web application test, IP Penetration test

 

google buttarelli
Non non abbiamo fatto in tempo ma per qualche ora se inserivate come chiave di ricerca "Buttarelli causa morte"  Google vi forniva la causa senza che alcun giornale le avesse pubblicate tantomeno la famiglia ne avesse dato notizia. Si è gridato subito allo scandalo, violazione della privacy etc... certamente l'episodio è abbastanza fastidioso e va a interessare una sfera particolarmene delicata, quella dello stato di salute delle persone, ma la questione che dovremmo tenere sempre bene a mente è che quando creiamo un account gratutio, e sottolineo gratutito,  @gmail.com accettiamo, anche se nessuno di noi lo legge, un contratto che da ampia libertà a google di leggere il contenuto delle nostre email e di usare quei dati.  Di fatto sottoscriviamo un contratto con cui li autorizziamo a inserirsi nella nostra vita, a maggior ragione quando configuriamo un dispositivo Android oltre alle email forniamo anche tanti altri elementi, come i luoghi visitati: un ristorante piuttosto che un centro di cure, la durata di permanenza, e con buona probabilità qualcuno dall'altra parte ascolta anche il consulto con il medico curante.... insomma per quanto ci vogliamo o possiamo lamentarci quando sottoscriviamo un contratto di servizio gratutito la merce siamo noi!!! Nessuno ti regala una serie di servizi che hanno un costo considerevole senza ottenere in cambio qualcosa. pensate a quanto può costare gestire un server di posta elettronica, ma proviamo a farla più semplice quanto costa una casella di posta elettronica su un provider come aruba o ovh? dai 50-60€ all'anno per casella e se dovessimo pagare tutte le caselle gmail 50€ l'una all'anno quanto ci costerebbe???

Chiaramente i servizi di Google oggi sono spesso irrinunciabili, in particolare per la parte mobile, ma dobbiamo essere coscienti che spesso sottoscrivere un contratto di servizio gratuito con Google o con qualunque altro big dell'IT significa spesso, nelle pieghe del contratto, consegnare loro la chiave di accesso ai nostri dati e il diritto di usarli come meglio credono. Questo rappresenta un importante problema, in partolare nell'era GDPR Google va ad effettuare una profilazione e una serie di trattamenti estremamente delicati e pericolosi per i diritti e le libertà delle persone. Quando succeede un caso come quello di Buttarelli o di qualunque personaggio pubblico si solleva un gran clamore, ma quanti casi di persone della strada possono essere vittiam di questo tipo di errore? quali implicazioni può portare un tale trattamento. 

Da troppo tempo si invoca l'intervento del Garante UE nei confronti dei colossi dell'IT perchè rispettino le norme come tutti, forse questa è la leva che serviva per riportare sui binari della liceità questi BiG

 

Questo sito utilizza i cookie per offrire una migliore esperienza di navigazione. Cliccando OK puoi continuare la navigazione e questo messaggio non ti verrà più mostrato. Se invece vuoi disabilitare i cookie puoi farlo dal tuo browser. Per maggiori informazioni puoi accedere alla nostra cookie policy.