Come custodiscono i nostri dati le aziende alle quali li affidiamo? Maluccio. Vorrei raccontarvi un esempio vissuto personalmente. Mia moglie ha ricevuto ieri una mail di ringraziamento per la sua recente visita allo Sheraton Grand Hotel di Dubai.
La mail è “firmata” da “Bill Marriott, Executive Chairman of the Board, Marriott International, Inc.”. No, non è un tentativo di phishing. È un sondaggio, gestito da Medallia.com. Gestito maldestramente, direi. Perché mia moglie non è mai stata a Dubai, men che meno allo Sheraton di Dubai.
Ci è stata, invece, una donna il cui nome somiglia (ma neanche tanto) a quello di mia moglie. Non lo pubblico qui per ovvie ragioni; quello che conta è che ora so il nome e cognome di una cliente dell’albergo e so anche quando l’ha visitato, con buona pace delle promesse di privacy di Medallia (“customers can be assured that personal data or PII data can be viewed only by those staff or markets who have a need to know.”). Con un minimo di ragionamento posso anche dedurre il suo indirizzo di mail, visto che conosco il suo nome e quello di mia moglie e so qual è l’indirizzo di mail della Dama del Maniero Digitale.
Non solo: ho la possibilità di rispondere per lei al sondaggio che le chiede di descrivere come è stato il suo soggiorno nell’albergo. Vi lascio immaginare quali cose terribili potrei scrivere per mettere nei guai lei, il personale dell’albergo e chi sta gestendo questo sondaggio. Con un po’ di creatività, un criminale potrebbe imbastire facilmente una truffa estremamente credibile (”Buongiorno signora [nome e cognome], con riferimento al suo recente soggiorno presso il nostro albergo, ci risulta non pagato l’ultimo pernottamento; la preghiamo di bonificare al più presto l’importo di 1247,35 dollari sul seguente conto...”). Ma mi sono trattenuto e ho avvisato Medallia. Finora non ho ricevuto risposta.
Lasciando da parte la violazione della privacy subita dalla donna in questione, immaginate quali conseguenze potrebbe avere un errore di gestione del genere in una situazione diversa dalla mia (so per certo che la Dama del Maniero non era a Dubai a mia insaputa e che non farebbe mai nulla del genere): pensate per esempio a una coppia nel quale un partner geloso si mette a sospettare un tradimento per colpa di questa mail.
Un paio di settimane fa ho messo in guardia contro gli errori di geolocalizzazione che possono indurre sospetti infondati; questa mail è un altro caso analogo. Insomma, prima di accusare qualcuno sulla base di dati informatici, andateci cauti.
2018/11/16 9:00
C’è un seguito.
Nessun commento:
Posta un commento