Un’organizzazione senza scopo di lucro in Brasile che aiuta i giovani a trovare un tirocinio ha subito una grave violazione dei dati, con gli aggressori che affermano di aver avuto accesso a circa 546 gigabyte di record privati. L’organizzazione, chiamata Gerar, mette in contatto le persone in cerca di lavoro per la prima volta con aziende e istituzioni educative. La violazione è stata resa nota quando è apparso un post su un forum di fuga di dati che mostrava file campione di giovani candidati risalenti a diversi anni fa.
Il materiale esposto è profondamente sensibile. Secondo i ricercatori che hanno analizzato il set di dati campione, la fuga di notizie include copie scannerizzate di rapporti di controllo medico, carte d’identità, contratti tra Gerar e stagisti, contratti tra scuole e programmi di formazione e persino documenti scansionati relativi al servizio militare per alcuni giovani candidati.
Nel set di file campione, i ricercatori hanno trovato nomi, indirizzi e-mail, numeri di telefono, date di nascita, numeri di identificazione dei contribuenti, indirizzi stradali, dati sul reddito familiare, dettagli sul background educativo e altre informazioni personali. Questi dati da soli rappresentano un rischio significativo per il furto di identità e le frodi.
Poiché molte delle persone colpite sono giovani adulti che si affacciano appena al mercato del lavoro, il rischio a lungo termine è particolarmente elevato. Con così tanti dettagli personali esposti, i malintenzionati potrebbero aprire conti, richiedere prestiti o impersonare vittime per gli anni a venire. I ricercatori avvertono che quando l’identità di qualcuno viene compromessa all’inizio della sua carriera, può avere un impatto duraturo sulla sua storia creditizia e sulle opportunità di lavoro.
Gerar offre formazione, stage e servizi di abbinamento per i giovani brasiliani che entrano nel mondo del lavoro. In tal modo, raccoglie elevati volumi di dati personali sia dai candidati che dai partner educativi o datori di lavoro. Questo volume di dati sensibili, combinato con le minori protezioni tipiche dei programmi orientati ai giovani o senza scopo di lucro, rende tale organizzazione un bersaglio attraente.
Compromettendo il database di un’organizzazione no-profit come Gerar, gli aggressori ottengono l’accesso non solo ai dati personali grezzi, ma anche ai documenti contrattuali, ai materiali di verifica dell’identità e alle credenziali educative. Tutto questo può essere utilizzato per attacchi secondari come phishing, creazione di credenziali false o impersonificazione aziendale.
In che modo le organizzazioni non profit possono rafforzare la protezione dei dati
La violazione di Gerar dimostra che anche le organizzazioni con buone intenzioni possono diventare punti di errore nel più ampio ecosistema di protezione dei dati. Ogni organizzazione non profit che raccoglie dati personali deve prendere sul serio la sicurezza informatica come fanno le grandi aziende private.
Ciò significa limitare la quantità di dati raccolti, crittografarli nell’archiviazione e rivedere chi vi ha accesso. Anche gli aggiornamenti regolari del software, i test di penetrazione e la formazione del personale possono prevenire molte violazioni prima che si verifichino. Altrettanto importante è una comunicazione trasparente dopo un incidente. Le persone colpite dovrebbero essere informate rapidamente e ricevere consigli pratici per proteggersi.