Un paio di settimane fa ho raccontato di come un errore di una società di sondaggi ha mandato via mail a mia moglie i dati di soggiorno di un’altra persona. L’errore viola le promesse di privacy della società (Medallia), che dicono che “i clienti possono stare sicuri che i dati personali o le PII [informazioni personalmente identificabili] possono essere visti solo dal personale o dai mercati che hanno necessità di conoscerli”.

Avevo scritto alla società per avvisarla dell’errore e del fatto che ha eccome fatto vedere informazioni personalmente identificabili (il nome della persona che è stata a Dubai, l’albergo che ha frequentato e la data di conclusione del suo soggiorno mi paiono dati abbastanza “personalmente identificabili”). Ho anche chiarito che si trattava di una possibile violazione del GDPR e che ne avrei parlato alla RSI.

Hello,

I'm a journalist working with Swiss National Radio. Please be advised that you recently sent to the wrong person a survey email intended for [omissis]. The wrong person is my wife, [omissis].

This appears to be a violation of GDPR and of your privacy policies.

I will be discussing this event tomorrow morning (Friday 26th) during my weekly radio show about IT security. Your comment would be most welcome.

You may want to disregard any results of that survey entry.

Sincerely,

Paolo Attivissimo

Nessuna risposta da parte della società di sondaggi. Così ho provato a compilare il sondaggio dando il peggior punteggio possibile, nella speranza di ottenere una reazione di qualche genere. È arrivata:

Dear Mrs. [omissis],
Thank you for choosing to stay at the Sheraton Grand Hotel, Dubai and providing your honest feedback on the Guest Satisfaction Survey.
Providing the highest level of hospitality is our number one priority and we sincerely apologise for falling short of meeting your expectations.
Needless to say that I am sad and disappointed to read, that there was clearly things we could have done better to make your stay as memorable as possible.

As we very much use our guests feedback to continuously improve our products and services we would love to share your feedback with the appropriate hotel team to ensure the necessary guidelines are in place to prevent shortcomings from occurring in the future. If not too much troubles to ask, please help me to understand what went wrong during your stay to further learn, coach and amend. We are very much looking forward hearing from you and get to know how to serve better.

Once again, thank you for your valued feedback and we hope to welcome you again whenever your travels bring you back to Dubai.

Best regards to Madrid and a renewing weekend ahead,
Matthias.


Matthias [omissis]
Front Office Manager
Sheraton Grand Hotel, Dubai
[indirizzo di mail presso Medallia.com e numero di telefono]

Lasciando da parte le scuse, notate che il Front Office Manager si è lasciata scappare la città dalla quale proviene la loro cliente: “Best regards to Madrid”. La commedia degli equivoci sta diventando una seminagione di dati personali.

Con i dati fornitimi dalla società di sondaggi ho fatto una rapida ricerca in Google e nei social network: si tratta di una donna che dirige un’importante azienda di Madrid e partecipa al Women Economic Forum. Non è un caso di omonimia: l’indirizzo di mail è inequivocabile. 

Riassumendo, fin qui ho:

• il nome e cognome di una cliente dello Sheraton Grand Hotel di Dubai
• il suo indirizzo di mail (facilmente deducibile dai dati personali che non pubblico qui)
• la data del suo ultimo soggiorno in quell’albergo (23 ottobre scorso)
• la città nella quale abita (Madrid)
• il nome dell’azienda per la quale lavora
• una sua foto

Sono dati sufficienti per una campagna di spear phishing, ossia per un attacco mirato a una persona chiaramente facoltosa e/o altolocata (va a un Grand Hotel) e quindi potenzialmente molto interessante.

Giusto per fare un esempio, se io fossi un criminale potrei spacciarmi per un dipendente dell’albergo e contattare la cliente dicendo “Buongiorno signora, sono dello Sheraton dove lei è stata fino al 23 ottobre, vedo dal suo questionario che il soggiorno non è stato per nulla di suo gradimento, vorremmo scusarci con un rimborso totale. Ci può confermare che i dati della sua carta di credito sono ancora validi?”. Anche se non dovesse abboccare alla trappola e darmi le coordinate della sua carta di credito, potrei approfittarne per acquisire altri dati personali.

Potrei anche rispondere al signor Matthias fingendo di essere la cliente insoddisfatta e reclamare un rimborso o creare altri equivoci, ma mi trattengo. Non ho molta fantasia, ma un esperto di spear phishing o di burle online potrebbe avere idee più creative delle mie.

Ho appena scritto a Matthias per avvisare del problema:

Hello Mr [omissis],

I'm a journalist working with Swiss National Radio. Please be advised that you recently sent to the wrong person a survey email intended for Mrs [omissis], who was at your hotel up to the 23rd of October. The wrong person is my wife, to whose email address ([omissis]) you have sent your survey.

I emailed [indirizzo di Medallia.com] to warn about this error, but received no reply. I entered bad ratings in your survey form to attract your attention. This appears to have worked. You may want to disregard any results of that survey entry.

You have leaked personally identifiable information. This appears to be a violation of GDPR and of your privacy policies. You might want to consider the appropriate legal steps for GDPR violations.

I will be discussing this event this morning (Friday 16th November) during my weekly radio show about IT security. Your comment would be most welcome.

Sincerely,

Paolo Attivissimo

Vediamo cosa rispondono: vi terrò aggiornati.