rischioblog

Italia: Licenziata, firma la vendetta con la password

noreply@blogger.com (Stefano) — Thu, 14 Apr 2011 06:11:00 +0000

Ambito: servizi
Tipologia: violazione della sicurezza

Era stata licenziata, ma le sue credenziali non erano state ancora cancellata. La dipendente di un commercialista di Catania ha così ingenuamente pensato di usare il proprio nome e la propria password per vendicare lo sgarbo subito.
Maggiori informazioni su WebNews

Italia: arrestato ex-consulente dei pm di Bari per accesso informatico illecito

noreply@blogger.com (Stefano) — Wed, 13 Apr 2011 06:56:00 +0000

Ambito: pubblica sicurezza
Tipologia: fuga di informazioni confidenziali

Quando una mancata applicazione delle più elementari norme di sicurezza può condurre a risvolti anche politici interessanti...

Secondo un articolo del Giornale, un ex-consulente informatico della procura di Bari, ora giornalista del Corriere della Sera, avrebbe avuto accessonell'agosto del 2009 ai sistemi doev erano conservate le informazioni dell'inchiesta condotta dal pm Pino Scelsi: utilizzando le password ancora in suo possesso da quando si era dimesso un anno e mezzo prima dalla società che gestiva la sicurezza della rete della procura barese, Andrea Morrone pare essere la talpa che in quell'anno fece uscire molti documenti riservati per poi passarli alla stampa.
Lo scopo sembra essere stato esclusivamente di tipo professionale: Morrone desiderava un'assunzione da parte del Corriere del Mezzogiorno, fatto che si è verificato nel febbraio del 2010.
Le indagini sono arrivate al nome di Morrone poiché i verbali pubblicati erano conservati nel pc del magistrato e, secondo i log, il 4 agosto qualcuno aveva consultato il contenuto di una cartella contenente i documenti degli interrogatori del caso Tarantini. Incrociando poi i tabulati delle telefonate e la posizione di Morrone individuabile dalle celle di copertura del suo telefono cellulare, gli inquirenti hanno capito che l'ex consulente aveva ancora accesso sia a una stanza del piano interrato dell'edificio della procura sia ai sistemi informativi ivi presenti.

Fonte: Il Giornale

Irlanda: assicurazione perde nastro con i dati di 50.000 clienti

noreply@blogger.com (Stefano) — Tue, 12 Apr 2011 04:21:00 +0000

Ambito: assicurazioni
Tipologia: fuga di informazioni personali,

Phoenix Ireland, una compagnia assicurativa irlandese, ha ammesso di aver smarrito i dettagli personali di 50.000 clienti attuali e del passato, nonché di alcuni prospect che avevano avuto contatti con l'azienda.
Le informazioni, in formato non crittografato, erano conservate in un nastro che è andato smarrito e riguardavano nomi, indirizzi e dettagli dei conti correnti bancari.
Un portavoce della società ha affermato che "il rischio è da considerarsi ridotto in parte perché per un hacker è estremamente difficile distillare le informazioni dal nastro, che non contiene alcun riferimento esterno alla Phoenix." (Nota: la società sembra avere scarsa fiducia sulle potenzialità degli esperti informatici che spesso vengono qualificati col termine "hacker").
Il portavoce afferma anche che "la societànon é nemmeno convinta che il nastro sia stato effettivamente creato. Semplicemente esso non è giunto a destinazione all'ufficio che lo aspettava." (Nota: suggerisco di chiedere informazioni all'ufficio che lo doveva spedire, per avere maggiori ragguagli sulla sua esistenza).

Fonte: Irish Times

Regno Unito: poliziotto del Lancashire sospeso per violazione

noreply@blogger.com (Stefano) — Mon, 11 Apr 2011 06:00:00 +0000

Ambito: pubblica sicurezza
Tipologia: fuga di informazioni personali

L'acccesso ai dati privati di colleghi, vicini di casa e membri della famiglia, pare essere diventata una pratica comune negli uffici della polizia del Lancashire: negli ultimi 3 anni si sono verificate 84 violazioni della privacy che hanno condotto a 13 licenziamenti, 7 dimissioni e a numerosi richiami ufficiali.
Le informazioni ottenute sono spesso state utilizzate per scopi personali o passate a esterni.

Un portavoce del Lancashire Constabulary, la prefettura locale, ha affermato che tutti gli accessi alle informazioni vengono sottoposti a un audit per verificare che siano stati effettuati per scopi di polizia e che le informazioni vengano utilizzate in modo adeguato e per l'applicazione della legge.

Fonte: BigBrotherWatch via Office of Inadequate Security

Regno Unito: divulgati erroneamente dati lasciati incustoditi

noreply@blogger.com (Stefano) — Wed, 06 Apr 2011 06:33:00 +0000

Ambito: amministrazione pubblica
Tipologia: fuga di informazioni personali

L'Information Commissioner’s Office (ICO), l'ente britannico che sorveglia l'implementazione del Data Protection Act, ha sanzionato la città di York a causa della scarsa qualità dei controlli e della mancanza di supervisione da parte del management.
La causa scatenante della sanzione è stato l'invio a un entità esterna, da parte di un dipendente, di alcuni documenti contenenti dati personali trovati su una fotocopiatrice.
Secondo una dei dirigenti dell'ICO, Sally-Anne Poole, questo caso denota la necessità, da parte dei dipendenti, di assumersi la responsabilità e la proprietà delle attività da loro svolte inerenti il trattamento di dati personali: se infatti il documento non fosse stato lasciato sulla fotocopiatrice e fosse stato controllato accuratamente prima di essere inviato, non si sarebbe creata alcuna violazione.

Fonte: ITPRO

Italia: quando le referenze del candidato evitano i controlli pre-assunzione

noreply@blogger.com (Stefano) — Thu, 31 Mar 2011 07:06:00 +0000

Ambito: intrattenimento
Tipologia: frode aziendale

Come ben sappiamo, i controlli preventivi da effettuare prima di assumere un candidato hanno lo scopo di individuare eventuali criticità che potrebbero mettere a rischio l'azienda una volta assunta la persona scelta.
Che si svolgano mediante l'esame del casellario giudiziale o con una telefonata alle referenze citate nel curriculum, sono una buona pratica per valutare il rischio associabile a ogni dipendente.
Ebbene, un giovane calabrese, studente a Pescara, ha pensato di ovviare a questo millantando (ebbene sì) nel suo curriculum un'affiliazione alla 'ndrangheta.
Purtroppo per lui l'imprenditore che doveva assumere l'ha denunciato.
Trovate i particolari su newnotizie.

Fonte: Fraudologia

USA: dati di carte di credito di membri IEEE potenzialmente compromessi

noreply@blogger.com (Stefano) — Thu, 31 Mar 2011 06:06:00 +0000

Ambito: industria elettronica
Tipologia: fuga di informazioni personali,

L'IEEE, la più grande associazione di professionisti della tecnologia, ha comunicato che i dati personali e delle carte di credito di 800 dei suoi membri potrebbero essere stati compromessi da una fuga di informazioni.
Sebbene lo scopo e la sorgente dei dati siano ancora sconosciuti, IEEE ha allertato i membri coinvolti per evitare attacchi sofisticati basati sulla social engineering.
L'intrusione nel database dell'IEEE è stata individuata nel dicembre 2010: un'analisi forense successiva ha rivelato che un file contenente le informazioni sulle carte di credito di alcuni membri era stato cancellato il mese prima. Chi ha avuto accesso a quel file potrebbe aver sottratto i dati delle carte e altre informazioni sensibili.
IEEE non ha trovato evidenze che i dati delle carte di credito siano stati fatti uscire dai suoi sistemi, e quindi la notifica ai membri è da considerarsi una misura di precauzione.

Fonte: threat post

Australia: le agenzie governative mettono al bando la webmail

noreply@blogger.com (Stefano) — Wed, 30 Mar 2011 07:41:00 +0000

Ambito: amministrazione pubblica
Tipologia: analisi e prevenzione

In un report sulla sicurezza delle informazioni delle agenzie governative australiane, l'Auditor-General Ian McPhee ha raccomandato che le agenzie non debbano permettere al personale di ricevere e inviare email sui sistemi aziendali utilizzando servizi di webmail, citando esplicitamente Hotmail e Gmail come esempi di tali piattaforme.
Secondo McPhee, "il problema con tali sistemi è che essi offrono un punto d'ingresso facilmente accessibile per attacchi esterni" e rendono soggetti i dipartimenti governativi a potenziali divulgazioni di informazioni intenzionali e non.
L'analisi condotta in diverse agenzie ha mostrato che gli account webmail sono utilizzati dallo staff regolarmente: dal solo dipartimento del Primo Ministro, gli hit ai siti delle webmail in due mesi sono stati più di un milione.
Laddove lo staff necessiti l'accesso alle webmail, viene suggerito l'utilizzo dell'approccio "internet cafe", dove delle postazioni stand-alone poste all'interno delle agenzie possono accedere a questi servizi online.
In risposta alle raccomandazioni dell'audit, il Gabinetto del Primo Ministro chiuderà l'accesso a ogni webmail entro il 1 luglio 2011, sebbene abbia affermato che gli opportuni controlli siano già stati da tempo implementati.

Fonte: zdnet.au via SANS Newsbytes

Francia: le assicurazione Verspieren corregono una falla

noreply@blogger.com (Stefano) — Mon, 28 Mar 2011 06:30:00 +0000

Ambito: assicurazioni
Tipologia: fuga di informazioni personali
Tipologia: violazione della sicurezza

Alcuni mesi fa è stata scoperta una vulnerabilità nel servizio online delle assicurazioni Verspieren: una volta che un utente si era collegato con i suoi dati di accesso, poteva visualizzare i dettagli di altri clienti della compagnia di assicurazione.
La potenziale fuga di dati, presente nello spazio Verspieren Benefits, permetteva a chiunque si fosse autenticato di modificare l'URL visualizzato per inserire un altro numero di polizza (ad es. siteweb.com/clients/123 par siteweb.com/clients/124), e visualizzare così i dati di altre persone.
L'accesso a tali dati non era comunque possibile senza prima essersi autenticati con il propcio Customer ID e la relativa password.
La vulnerabilità, scoperta da ZATAZ.COM è stata immeditamente segnalata alla società che però non vi ha posto rimedio. Dopo alcuni mesi e successivamente alla pubblicazione sui media, la Verspieren ha immediatamente corretto la falla affermando che il "problema non era stato risolto in precedenza poiché l'avviso di ZATAZ era stato considerato un messaggio spam per cui non era stato preso in esame."
Altre 12 assicurazioni francesi si sono rivolte al sito di segnalazioni di sicurezza per assicurarsi di non essere vittima del medesimo problema.

Fonte: ZATAZ

Regno Unito: dati confidenziali inviati per errore via email

noreply@blogger.com (Stefano) — Thu, 24 Mar 2011 13:30:00 +0000

La sede della Spectrum Housing
a Christchurch - Dorset

Ambito: industria
Tipologia: fuga di informazioni personali

I dettagli personali di 200 dipendenti del gruppo di edilizia abitativa Spectrum Housing sono stati erroneamente inviati per email al destinatario sbagliato.
I dati, contenuti in un foglio elettronico, comprendevano vari dettagli sulle identità dei dipendenti, ovvero nomi, date di nascita, numero della National Insurance e sono stati inviati da un dipendente che ha selezionato il destinatario sbagliato della email.
Fortunatamente il foglio elettronico non conteneva nessun dato sui salari o sui conti in banca.
Anne Wildeman, il direttore del personale della Spectrum, ha classificato l'incidente come un errore umano, che è stato immediatamente portato all'attenzione degli opportuni organismi aziendali: il destinatario errato è stato subito contattato e ha assicurato di non avere alcuna intenzione di inoltrare i dati ad altre entità, cancellando il file dal suo computer.
La Wildeman si è detta soddisfatta del trattamento dell'incidente, ma in ogni caso verrà rivisto il piano di formazione interna sulla sensibilizzazione alle tematiche di sicurezza e verrà effettuata un'analisi per considerare eventuali miglioramenti ali sistemi IT di controllo.

Fonte: Bournemouth Echo via Office of Inadequate Security

Italia: bancario condannato per appropriazione indebita

noreply@blogger.com (advanction) — Tue, 22 Mar 2011 10:18:00 +0000

Ambito: finanza
Tipologia: frode aziendale

Un bancario di Porto Empedocle, Fabrizio Cimino di 32 anni, è stato condannato a 1 anno di reclusione per aver sottratto 38.000 euro all'agenzie di Banca Nuova di Canicattì, presso cui era impiegato nell'estate del 2008.

Fonte: Corriere di Sciacca

USA: dipendente di Wachovia Bank condannata per furto di identità

noreply@blogger.com (Giorgia) — Mon, 21 Mar 2011 11:00:00 +0000

Ambito: finanza
Tipologia: fuga di informazioni personali

Marisol Morales, una ex-dipendente di Wachovia Bank, è stata condannata a due anni e un giorno di prigione per frode bancaria e furto di identità aggravato: la donna è stata riconosciuta colpevole di aver fatto parte di un piano per defraudare il suo datore di lavoro di 367.000 dollari.
Dal luglio 2006 al gennaio 2007, mentre era impiegata come addetta al servizio clienti della banca, la donna ha venduto informazioni confidenziali di conti correnti e specimen di firma a una persona esterna, permettendo che venissero emessi e ritirati assegni falsi.
L'ammontare totale degli assegni emessi era di $ 532.279,11, ma non tutti sono stati incassati, portando l'ammanco di Wachovia Bank a 367.003,43 dollari.

Fonte: Office of Inadequate Security

USA: fuga di informazioni coinvolge Bank of America

noreply@blogger.com (Giorgia) — Fri, 18 Mar 2011 07:14:00 +0000

Ambito: finanza
Ambito: assicurazioni
Tipologia: fuga di informazioni confidenziali

Mentre è ancora viva la minaccia di WikiLeaks di divulgare informazioni su una non ancora ben identificata banca statunitense (che pare comunque trattarsi di Bank of America), un'altra fuga di dati confidenziali colpisce l'istituto finanziario di Charlotte, in North Carolina.
Il gruppo Anonymous ha infatti divulgato una serie di e-mail scambiate da dipendenti di Balboa Insurance, una divisione di BofA recentemente venduta al gruppo australiano QBE Insurance Group Ltd.

Le mail riguardano una procedura dell'azienda di assicurazioni relativa all'emissione di polizze aggiuntive richieste da aziende che erogano mutui.
I membri di Anonymous affermano che le email costituiscono prove della frode che la banca ha commesso nascondendo degli errori agli auditor federali: le email sottratte, datate novembre 2010, mostrano un errore riguardante alcune abitazioni che richiedevano un'assicurazione contro le inondazioni ma che si trovavano in una zona ad alto rischio di inondazioni.
La persona che ha consegnato le email ad Anonymous è Brian Penny, un ex-dipendente della Balboa.
Circa 80 documenti sull'assicurazione contro le inondazioni vennero contrassegnati oer essere rimossi da un sistema interno, a causa dell'errore. Penny afferma che la banca voleva rimuovere i files in modo che gli auditor non notassero l'errore.
La banca non ha negato l'esistenza delle email, ma non ritiene di aver commesso nessuna infrazione, accusando però l'ex-dipendente di aver trafugato documenti confidenziali.

Fonte: The Wall Street Journal / The Huffington Post

Francia: potenziale fuga di dati da assicurazione

noreply@blogger.com (Stefano) — Thu, 17 Mar 2011 07:06:00 +0000

Tipologia: fuga di informazioni sensibili
Ambito: assicurazioni

Un'importante società di assicurazioni francese sta permettendo da alcuni mesi di accedere liberamente a dati sensibili di alcuni suoi clienti.
L'esposizione dei dati, individuata e comunicata alla società da Zataz già nel dicembre dello scorso anno, permette di visualizzare le informazioni di 10.774 francesi espatriati che hanno sottoscritto una o più polizze con l'azienda di assicurazioni. Tra i dati disponibili: nomi, cognomi, date di nascita, numero di sicurezza sociale, numero di contratto, situazione famigliare, numero di figli, indirizzo all'estero e in Francia, coordinate bancarie.
La figura seguente mostra la situazione di un assicurato disponibile online:

Sembra che sia inoltre possibile apportare modifiche al conto corrente dei clienti e ai dettagli di come e dove effettuare i rimborsi.

Zataz, una volta individuata la falla di sicurezza, ha, come al solito, avvisato la società che però, a tutt'oggi, non ha implementato alcuna protezione ulteriore dei propri dati e delle proprie applicazioni.

E' scattata quindi la seconda fase, in cui viene divulgata la notizia della vulnerabilità, senza comunque comunicare il nome dell'azienda.

Fonte: Zataz

USA: 12 persone incriminate di cospirazione per frode bancaria

noreply@blogger.com (Stefano) — Mon, 14 Mar 2011 06:54:00 +0000

Ambito: finanza
Tipologia: frode aziendale
Tipologia: fuga di informazioni sensibili

Una rete criminale costituita da 12 persone, tra cui alcuni impiegati bancari, e che si era resa responsabile di frodi per un ammontare complessivo di 10 milioni di dollari è stata smascherata dalla Financial Crimes Task Force, un gruppo formato da investigatori locali, statali e federali che ha lo scopo di combattere i crimini finanziari inter-giurisdizionali.
La rete di persone localizzate in Minnesota, California e New York operava sottraendo e rivendendo informazioni sull'identità di cittadini americani, informazioni che venivani poi utilizzate da altre persone della rete criminale per aprire conti correnti e richiedere carte di credito e prestiti.
Gli istituti finanziari coinvolti nella frode sono: American Express, Associated Bank, Bank of America, Capital One, Guaranty Bank, JP Morgan Chase Bank, TCF Bank, US Bank, Wachovia Bank, Washington Mutual, and Wells Fargo Bank.
L'accusa afferma che dal 2006 al marzo 2011 gli indiziati hanno operato all'interno di una rete con l'obiettivo di ottenere denaro in modo fraudolento utilizzando dati identificativi rubati: con queste informazioni sono stati aperti conti bancari, sono state sottoscritte carte di credito e richiesti dei prestiti. Gli accusati hanno inoltre falsificato assegni, prelevato denaro attraverso le carte di credito aperte con false generalità, e trasferito sui loro conti linee di credito appartenenti ad altri.
Tra gli altri capi di accusa appare anche il reclutamento di altri impiegati bancari con lo scopo di ottenere informazioni su clienti ed eseguire transazioni fraudolente.

Le frodi sono state condotte in vari stati, tra cui Minnesota, California, Massachusetts, Arizona, New York e Texas e hanno permesso di ottenere più di 10 milioni di dollari.

Le frodi principali che hanno visto convolte le 12 persone comprendono:

tra marzo 2006 e dicembre 2010, Okeayainneh si è impossessato e ha ceduto oltre 7000 documenti identificativi, numeri di conto corrente e altre informazioni ad altre persone della rete;
dal luglio 2006 ad aprile 2010, Roberts, un personal banker, si è impadronito e ha rivenduto dati dei clienti e ha coinvolto altri a partecipare alle frodi;
nel 2006, Earley ed altri hanno utilizzato i dati di identità rubati;
dal 2006 al 2010, Coker ha reclutato persone per assumere l'identità di altri per aprire conti bancari ottenendo così più di 200.000 dollari;
dal 2009 al 2011, Osei-Tutu, un impiegato bancario che operava come insider per la rete, ha aperto conti per i complici con dati falsi;
dal 2009 al 2011, Farah, un direttore di banca, ha operato come insider per la rete, aprendo conti fraudolenti e prelevando denaro mediante assegni;
per tutto il 2009, Adejumo e Adeniranhanno prelevato denaro fraudolentemente per più di 300.000 dollari.

Se le accuse venissero confermate, gli accusati potrebbero essere condannati a pene detentive che possono arrivare a 30 anni.

* La Financial Fraud Enforcement Task Force è composta da personale delle seguenti organizzazioni: U.S. Postal Inspection Service, U.S. Immigration and Customs Enforcement’s Homeland Investigations, Internal Revenue Service-Criminal Investigations Division, U.S. Secret Service, Social Security Administration, Edina Police Department, Wright County Sheriff’s Office, Minneapolis Police Department, Minnesota Bureau of Criminal Apprehension.

Fonte: Office of Inadequate Security

Francia: lo spionaggio industriale alla Renault forse non è spionaggio

noreply@blogger.com (Stefano) — Sat, 12 Mar 2011 14:29:00 +0000

Ambito: industria automobilistica
Tipologia: spionaggio industriale

E' quanto emerge da recenti indagini condotte dal servizio segreto francese.
Maggiori informazioni sul sito del Sole 24 ore

Usa: dati sottratti alla più grande banca di cellule staminali del mondo

noreply@blogger.com (Giorgia) — Tue, 08 Mar 2011 07:15:00 +0000

Ambito: assistenza sanitaria/healthcare
Tipologia: fuga di informazioni sensibili

Un computer e alcuni nastri di backup della Cord Blood Registry sono stati trafugari dall'automobile di un dipendente dell'azienda. La Cord Blood Registry (www.cordblood.com) è la più grande banca di cellule staminali al mondo, che conserva le cellule staminali provenienti dal cordone ombelicale di circa 350.000 persone.
Nei nastri trafugati erano presenti i dati dei clienti e dei famigliari, contenenti informazioni sensibili tra cui nomi, Social Security number, patenti, numeri di carta di credito.
Nella lettera inviata ai clienti coinvolti CBR ha affermato di aver assoldato esperti si sicurezza per condurre investigazioni sull'incidente che hanno determinato che non esistono indicazioni che, a tutt'oggi, siano state ancora utilizzate le informazioni presenti sul materiale trafugato.
Secondo il rapporto della polizia, il dipendente ha lasciato la sua auto incustodita per 15 minuti nel parcheggio di un grande data center a San Francisco. Il computer e i nastri erano all'interno del bagagliaio.

Nota: anche questo è un caso da manuale che illustra l'incuria con cui vengono talvolta gestiti dati sensibili di clienti o pazienti. La Cord Blood Registry non afferma in nessun luogo, nella sua comunicazioni ai clienti, che i dati dei clienti erano protetti con la crittografia (incuria dell'azienda 1: non proteggere i dati in movimento).
Possiamo supporre che il motivo per cui il computer e i nastri fossero all'interno dell'automobile di un dipendente era dovuto alla necessità del trasferimento di tali nastri presso un centro di archiviazione esterno. Quindi, a meno che la macchina non sia stata aperta in corsa da un ladro, perchè il dipendente non si è recato direttamente presso tale centro? (incuria dell'azienda 2, che non ha effettuato un adeguato training del dipendente e incuria del dipendente che ha lasciato dati sensibili in automobile).

Fonte: ScamSafe

Germania/Francia: dati di Dassault trovati sulla rete Siemens

noreply@blogger.com (Stefano) — Mon, 07 Mar 2011 07:27:00 +0000

Tipologia: fuga di informazioni confidenziali
Ambito: industria informatica

I dati di 3216 clienti della Dassault in Germania, Austria e Svizzera sono apparsi sulla rete interna della Siemens Product Lifecycle Management Software GmbH, azienda del gruppo tedesco Siemens.
Responsabili di Siemens hanno affermato che hanno già avuto contatti con Dassault e che è stata avviata un'investigazione interna per chiarire le responsabilità. Sebbene ancora le modalità non siano state chiarite, alcune voci affermano che sia stato un ex-dipendente di Dassault, ora in Siemens, a portare il materiale con sè.
In ogni caso, i dati sono stati restituiti a Dassault e cancellati dai sistemi della Siemens.
L'azienda francese ha asserito che i dati dei suoi clienti avrebbero costituito una minaccia marginale: la lealtà dei clienti di software per la gestione del ciclo di vita dei prodotti è molto alta. Utilizzare i dati per danneggiare un concorrente si sarebbe quindi rivelata una mossa controproducente.

La gestione del ciclo di vita dei prodotti è il processo che permette di avere costantemente sotto controllo i componenti di un prodotto, come ad esempio un'automobile, dalla sua progettazione, alla produzione, all'invio sul mercato e infine alla dismissione. Esistono alcune soluzioni software che
aiutano in questa attività, tra cui quelle di Siemens e Dassault.

Fonte: Handelsblatt

Svizzera: dipendente sottrae 22 milioni di franchi a Gategroup

noreply@blogger.com (Stefano) — Mon, 07 Mar 2011 07:06:00 +0000

Tipologia: frode aziendale
Ambito: ristorazione

Gategroup, gruppo con sede a Kloten (ZH) attivo nel settore della ristorazione a bordo degli aerei, ha identificato il responsabile della frode di 22 milioni di franchi di cui ha fatto le spese. Si tratta del direttore della filiale Gate Gourmet per l'Europa settentrionale, che è stato licenziato, ha indicato ieri sera la società zurighese in un comunicato.
Gategroup precisa che, stando ad un'inchiesta interna, l'ex manager della sua filiale principale è l'unico responsabile della malversazione. L'ex quadro avrebbe metodicamente falsificato documenti e manipolato i conti per sfuggire ai controlli interni. L'impresa si è data come priorità il recupero dei soldi sottratti, in collaborazione con la persona incriminata, che ha promesso il proprio aiuto. Una parte della somma è già stata rimborsata: l'ammanco è di circa dieci milioni, aveva indicato Gategroup mercoledì. Gli atti illeciti sono stati compiuti sull'arco di tre anni; la parte più consistente della somma sottratta è però relativa al 2010.

Fonte: Corriere del Ticino

USA: mail sottratte a HBGary rivelano attacco a Morgan Stanley

noreply@blogger.com (Stefano) — Wed, 02 Mar 2011 07:55:00 +0000

The Morgan Stanley Building.
(Wikipedia)

Ambito: finanza
Tipologia: fuga di informazioni confidenziali

Non si è ancora sopito l'affaire che ha coinvolto l'azienda di sicurezza HBGary che si è vista trafugare le proprie email dal gruppo di hacker Anonymous che le ha poi divulgate ai media.
Da alcune di queste email, appare che la rete di Morgan Stanley, una delle maggiori banche d'investimento a livello mondiale, sia stata una delle vittime degli hacker cinesi che hanno lanciato l'operazione Aurora nella seconda metà del 2009.
Morgan Stanley, al momento, è l'unica azienda finanziaria che si sappia essere stata vittima dell'operazione di hacking: gli hacker impiantarono software per sottrarre file confidenziali e comunicazioni interne, secondo le email di HBGary.

Fonte: Bloomberg / Finextra

Svizzera: Furto di dati presso HSBC: conclusa l'inchiesta della FINMA

noreply@blogger.com (Stefano) — Tue, 01 Mar 2011 07:54:00 +0000

Ambito: finanza
Tipologia: fuga di informazioni confidenziali

A seguito di un'ampia inchiesta riguardo a un considerevole furto di dati presso HSBC Private Bank (Suisse) SA, la FINMA ha riscontrato delle lacune nell'organizzazione interna e nel con-trollo delle attività informatiche della banca. La FINMA ha inoltre invitato la banca a portare a termine le misure avviate tese a ripristinare la regolarità della situazione. La FINMA assisterà HSBC nella puntuale conclusione di queste misure.

A marzo 2010 l'Autorità federale di vigilanza sui mercati finanziari FINMA ha avviato un procedimento amministrativo formale a carico di HSBC Private Bank (Suisse) SA a Ginevra. A determinare l'avvio dell'indagine è stato il furto di una considerevole quantità di dati di clienti avvenuto presso la banca presumibilmente tra il 2006 e il 2007. Oggetto di indagine sono state l'organizzazione informatica vigente in quel periodo e le misure organizzative e tecniche adottate da allora da HSBC per ottemperare ai requisiti di legge.

La FINMA ha concluso l'indagine con un ammonimento nei confronti dell'istituto. Essa ha rilevato delle lacune nell'organizzazione interna e nel controllo delle attività informatiche della banca, che hanno comportato una grave violazione dei requisiti di autorizzazione da parte dell'istituto. La FINMA ha invitato HSBC a seguire la linea intrapresa finora e a portare avanti con coerenza le misure finalizzate al ripristino della necessaria sicurezza informatica. La FINMA assisterà HSBC nella puntuale conclusione di queste misure.

Fonte: FINMA

Italia: economa di Vanzaghello sottraeva soldi al comune

noreply@blogger.com (Stefano) — Mon, 28 Feb 2011 09:08:00 +0000

Ambito: amministrazione pubblica
Tipologia: frode aziendale

L'economa del comune di Vanzaghello è stata accusata di aver sottratto circa 180 mila euro a più riprese dalle casse del comune. La donna, smascherata dalle indagini della Guardia di Finanza, è stata denunciata a piede libero per «falso in atto pubblico e peculato», accusa che può comportare da due a otto anni di reclusione.
L'impiegata del comune è stata ora sospesa dal servizio. La Corte dei Conti interverrà probabilmente per richiedele i danni dopo aver considerato il danno erariale.
Gli ammanchi dalle casse comunali si stavano verificando dal 2003, ma solo negli ultimi anni la cifra aveva raggiunto dimensioni tali da richiedere una decisa presa di posizione da parte dell'Amministrazione Comunale che, nello scorso novembre, aveva presentato denuncia contro ignoti.
Il sistema. I controlli effettuati durante le indagini delle Fiamme Gialle hanno mostrato che il metodo dell'impiegata era molto semplice: attraverso falsi mandati di pagamento, la donna si recava in banca per ritirare del denaro contante che poi teneva per sè. Dopo i primi anni, in cui i prelievi saltuari riguardavano cifre modiche, negli ultimi anni gli ammanchi erano sempre più consistenti e frequenti, fattore che ha fatto scatenare la denuncia.

Fonte: Il Giorno

USA: sanzione di 1M di $ per fuga di informazioni sanitarie

noreply@blogger.com (Stefano) — Fri, 25 Feb 2011 07:59:00 +0000

Ambito: assistenza sanitaria/healthcare
Tipologia: fuga di informazioni sensibili

Il Massachusetts General Hospital pagherà al governo federale un milione di dollari di sanzioni per un incidente in un un dipendente smarrì dati sanitari di pazienti nella metropolitana.
L'ospedale ha inoltre stabilito che svilupperà una nuova policy sulla privacy per prevenire che le informazioni dei pazienti possano essere compromesse in futuro: nelle nuove direttive è previsto un rapporto semestrale di compliance al Dipartimento federale della Salute per i prossimi 3 anni.

La vicenda risale al 2009, quando un paziente inviò un reclamo a causa della perdita delle sue informazioni sanitarie; l'investigazione federale che fu aperta subito dopo permise di individuare che erano coinvolte nella fuga dai dati le informazioni di 192 persone e che le informazioni erano in possesso di un dipendente che le ha smarrite durante uno spostamento in metropolitana.

Fonte: Boston Business Journal da Office of Inadequate Security

Francia: possibile fuga di dati da un sito dell'UMP, il partito di Sarkozy

noreply@blogger.com (Stefano) — Fri, 25 Feb 2011 07:20:00 +0000

Ambito: politica
Tipologia: fuga di informazioni sensibili

Uno dei siti dell'UMP, il partito del presidente francese Sarkozy, sta lasciando da mesi al libero accesso dei navigatori, una lista di sostenitori del partito: la lista, contenente nomi e cognomi, numero di telefono, carte di identità, indirizzi, email degli appartenenti alla sezione di Vienne del partito, é liberamente accessibile da 8 mesi in un file excel online.

Gli amministratori del sito, contattati più volte nel corso degli ultimi mesi dal servizio francese Zataz, attraverso il suo protocollo di allerta, non hanno risposto, per cui la notizia è stata divulgata.
Ecco, nell'immagine, il contenuto del file excel disponibile:

In Francia, la Legge Informatica e Libertà ( loi informatique et liberté - CNIL)punisce questo tipo di fughe di informazioni con sanzioni che possono arrivare fino a 5 anni di carcere e 300.000 € di ammenda, mentre la divulgazione per imprudenza e negligenza prevede una pena massima di 3 anni di carcere e 100.000 € di ammenda.

Nel 2010, Zataz ha aiutato, grazie al suo protocollo di allerta, 1589 aziende, associazioni e individui e nel solo mese di gennaio 2011, sono già state inviate 203 segnalazioni ad altrettante entità che stavano divulgando sui propri siti Internet dati confidenziali.

Cina: dimissioni del CEO di Alibaba causate da troppe frodi

noreply@blogger.com (Stefano) — Thu, 24 Feb 2011 10:03:00 +0000

Ambito: commercio
Tipologia: frode aziendale

David Wei , l'amministratore delegato del portale di Alibaba.com, il più grande servizio di e-commerce cinese che mette a contatto i produttori con i consumatori, ha rassegnato le sue dimissioni in seguito allo scandalo che ha investito l'azienda cinese: un'investigazione interna ha infatti mostrato che alcuni dipendenti hanno permesso che più di 2300 gestori di negozi online ospitati dal portale portassero a compimento azioni fraudolente.
Oltre al CEO, anche il Chief Operating Officer Elvis Lee ha lasciato l'azienda cinese: sebbene nessuno dei due avesse avuto responsabilità dirette nelle frodi, entrambi hanno ritenuto che la cultura dell'integrità aziendale fosse stata compromessa da quello che era diventato un vero e proprio problema sistemico.
Per attivare contromisure contro l'escalation di truffe, Alibaba ha impiegato 9 mesi dal momento in cui è stato individuato un serio incremento nei reclami per frodi: tutti i 2300 negozi online coinvolti in frodi sono stati chiusi.
Lo schema di frode era modellato sulle possibilità offerte dalla piattaforma di e-commerce: il venditore offriva oggetti di elettronica di fascia alta a prezzi molto interessanti, con una quantità d'ordine minima e metodi di pagamento poco affidabili.
Circa 100 dipendenti del personale di vendita, supervisori e manager sono stati individuati come corresponsabili delle frodi, sia intenzionalmente sia per negligenza, per aver permesso ai venditori di oltrepassare agevolmente i sistemi di autenticazione e verifica

Fonte: The Guardian