Adecco Group Belgio è stata destinataria di un attacco cyber con significativo data leak di credenziali di autenticazione biometrica di circa duemila dipendenti Il cyber attacco ha interessato la piattaforma di authentication management Suprema ID, attraverso la violazione da parte dei criminali informatici del sistema BioStar2, una piattaforma di sicurezza interoperabile basata sul Web, aperta ed integrata e dotata di funzionalità complete per il controllo degli accessi, tempi e presenze del personale dipendente.

La violazione del sistema ha permesso agli hackers di disporre ed acquisire dati biometrici, tra i quali impronte digitali (fingerprints) e dati di facial recognition del personale dipendente della filiale Belga di Adecco, arrecando in concreto un danno che si configura di notevole impatto per l’impossibilità di recuperare e cancellare i dati trafugati.

Il Gruppo ha provveduto alla notifica del data breach al Garante della privacy belga che, in una nota ufficiale, ha dichiarato che sono in corso accertamenti per valutare la gravità della violazione, con la collaborazione di Adecco.

Dalla software house Suprema giunge una dichiarazione secondo la quale a seguito di una indagine interna, conseguente al data breach, si è provveduto a chiudere immediatamente il punto di accesso informatico attraverso il quale è avvenuta la violazione e si è anche provveduto ad ingaggiare una società forense internazionale per condurre un’indagine approfondita sull’incidente.

La violazione di dati biometrici di autenticazione è particolarmente grave, soprattutto in un momento storico in cui è ormai imminente, nel settore finanziario, l’operatività della Direttiva Europea nota come PSD2 (direttiva UE/2015/2366 sui servizi di pagamento nel mercato interno (Revised Directive on Payment Services) prevista in Italia per il prossimo 14 settembre 2019.

Da settembre, infatti, l’autenticazione biometrica affiancherà l’attuale security asset di autenticazione digitale (attraverso i metodi tradizionali di accesso basati su ID utente e password), diventando nel settore bancario e finanziario obbligatoriamente uno dei tre elementi di autenticazione forte del cliente, tanto per le transazioni nei sistemi di open banking tanto, a tendere, per quelle e-commerce.

É dunque di fondamentale importanza valutare correttamente il rischio e adottare misure di sicurezza adeguate ed anche di mitigazione degli impatti, soprattutto quando per il management dell’authentication si faccia ricorso, come nel caso di specie, a terze parti.

Fonte: federprivacy