Circa 90 organizzazioni hanno segnalato violazioni dei dati personali detenuti da Capita, una delle più grandi aziende di outsourcing, secondo quanto riferito dal garante della privacy. Il colosso ha subito un attacco informatico a marzo di quest’anno, e successivamente è emerso che Capita aveva lasciato un gruppo di dati non protetti online.
L’attacco informatico a Capita e le sue conseguenze
L’azienda ha ammesso di aver preso provvedimenti per proteggere i dati compromessi, ma l’entità del problema sembra molto ampia. L’Information Commissioners Office (ICO), il garante della privacy e dei dati, ha riferito che finora circa 90 organizzazioni hanno contattato l’ufficio in merito a Capita. Capita è utilizzata da un gran numero di organizzazioni pubbliche e private, gestendo le informazioni personali di milioni di persone. Molti schemi pensionistici aziendali amministrano i pagamenti attraverso Capita, e tra i suoi clienti ci sono anche vari consigli comunali.
Capita si trova di fronte a due problemi principali. Il primo è stato l’attacco informatico subito all’inizio dell’anno. Il secondo problema è emerso a maggio, quando è stato rivelato che Capita aveva lasciato un repository di file non protetti online. L’azienda ha affermato di lavorare a stretto contatto con consulenti specializzati e esperti forensi per indagare sull’incidente e ha preso misure estensive per recuperare e proteggere i dati.
La portata della violazione dei dati e le possibili ricadute
Kevin Beaumont, ricercatore di sicurezza, ha detto alla BBC che il primo incidente, che lui è “molto sicuro” sia stato un attacco ransomware, è significativo per l’ampia gamma di dati potenzialmente a rischio, che potrebbero esporre le vittime a frodi. Beaumont ha segnalato a Capita il secondo problema, che ha lasciato file non protetti online, in aprile, ma la notizia è emersa pubblicamente solo il mese successivo.
Diverse autorità locali hanno affermato di ritenere che i dati personali siano stati messi a rischio, sebbene Capita abbia inizialmente comunicato ai giornalisti di non ritenere che ciò fosse avvenuto. L’ICO sta incoraggiando le organizzazioni a verificare se i dati personali che detengono sono stati influenzati dall’attacco o dai dati esposti.