Samsung Electronics UK sarebbe stata vittima di una violazione di dati durata un anno, segnando il terzo incidente di questo tipo per il gigante tecnologico sudcoreano negli ultimi due anni. La violazione, che ha interessato i clienti che hanno effettuato acquisti tra il 1° luglio 2019 e il 30 giugno 2020, è stata portata alla luce il 13 novembre, secondo un'e-mail inviata ai clienti e condivisa sui social media dal consulente di sicurezza web Troy Hunt, il creatore di Have I Been Pwned.
La violazione è stata attribuita a un individuo non autorizzato che ha sfruttato una vulnerabilità in un'applicazione aziendale di terze parti utilizzata da Samsung Electronics UK. I dati compromessi comprendono nomi di clienti, numeri di telefono, indirizzi fisici e di posta elettronica.
Questo avviene dopo che l'azienda ha riconosciuto una violazione di quasi 200 GB da parte della banda Lapsus nel marzo 2022, la quale comprendeva l'esposizione di informazioni interne come il codice sorgente degli smartphone Galaxy. Solo pochi mesi dopo, la divisione statunitense di Samsung ha segnalato un'altra violazione a fine luglio 2022, in cui sono stati presi di mira i dati dei clienti. Le informazioni esposte includevano potenzialmente nomi, dettagli di contatto, informazioni demografiche, date di nascita e dettagli di registrazione dei prodotti, esclusi i numeri di previdenza sociale.
Nonostante Samsung abbia assicurato di aver preso provvedimenti per proteggere i sistemi interessati e di aver collaborato con le autorità dopo l'hacking del luglio 2022, l'azienda si trova ora ad affrontare una causa collettiva presentata nel settembre 2022. L'azione legale sostiene che Samsung non solo raccoglie inutilmente informazioni di identificazione personale dai propri clienti, ma non le protegge adeguatamente.
In risposta alla notizia originale, Samsung ha contattato The Register per dire che:
Siamo stati recentemente avvisati di un incidente di cybersecurity, che ha portato all'ottenimento illegale di alcune informazioni di contatto di alcuni clienti dell'e-store di Samsung UK.
Non sono stati colpiti dati finanziari, come quelli delle carte di credito o bancarie, o le password dei clienti.
Abbiamo preso tutte le misure necessarie per risolvere questo problema di sicurezza, compresa la segnalazione dell'incidente all'Information Commissioner's Office e il contatto con i clienti interessati.
Quest'ultima violazione dei dati e la conseguente azione legale sollevano serie preoccupazioni sulle misure di sicurezza dei dati di Samsung e sul suo impegno a salvaguardare le informazioni dei clienti. Mentre le aziende tecnologiche continuano a confrontarsi con la crescente minaccia di intrusioni informatiche, i consumatori si interrogano sull'efficacia delle misure di sicurezza messe in atto dai leader del settore.