I record esfiltrati alla più grande società di app per parcheggi in Europa includono nomi di clienti, telefoni, indirizzi fisici, e-mail e parti di numeri di carte di credito.
Un cybercriminale, che utilizza il nickname “hameraib”, ha messo in vendita in un forum a 39.995 dollari quelli che sostiene essere i 21,1 milioni di record esfiltrati con il cyberattacco a Easy Park a dicembre. È quanto spiega Restore Privacy, precisando che i dati sono in formato csv, sql, xlsx o json e degli stessi record gli “acquirenti” possono prima ricevere un campione.
Un nuovo capitolo che vedrebbe protagonista, suo malgrado, l’azienda proprietaria di vari marchi tra cui Ring Go (di cui, a seguito dell’attacco, sono stati violati i dati di 950 utenti del Regno Unito) e Park Mobile. Poco prima della fine dell’anno, la stessa società ha dichiarato di essere stata colpita da un cyberattacco (“Il 10 dicembre 2023, abbiamo scoperto di essere stati vittime di un attacco informatico. L’attacco ha comportato la violazione di dati non sensibili dei clienti“), che ha compromesso dati personali (nomi, numeri di telefono, indirizzi fisici, e-mail e parti di numeri di carte di credito) di clienti in buona parte del Vecchio continente.
Informate le autorità competenti
Oggi Restore Privacy spiega di aver contattato Easy Park (il cui servizio è attivo in oltre 650 città d’Italia, da Milano a Roma a Napoli) per chiedere un commento su quanto scritto da “hameraib” nel forum, ma l’azienda (che circa tre mesi fa ha ammesso di non aver ricevuto nessuna richiesta di riscatto, né di essere venuta a conoscenza di alcuna pubblicazione illecita dei dati rubati) non rilascia dichiarazioni.
Tornando ancora indietro con la memoria, nel post pubblicato – poi aggiornato il 18 gennaio – Easy Park Group aveva ufficialmente segnalato alle autorità di regolamentazione dell’informazione nell’Ue e nel Regno Unito il rilevante attacco informatico. Un data breach, scriveva la stessa società tra i principali operatori di app per parcheggi in Europa. Affermando poi che i dati di parcheggio non erano invece stati compromessi nel cyberattacco.
Nuove app per parcheggi
L’ampia e continua diffusione delle app per parcheggi comparta che la protezione dei dati viaggi di pari passo. E l’azione criminale compiuta nei confronti di Easy Park – di proprietà degli investitori di private equity Vitruvian Partners e Verdane – evidenzia proprio la crescente centralizzazione dei servizi di parcheggio a livello globale.
Di fatto, le app, i siti web e le linee telefoniche automatizzate sono andati a sostituire tanto i contatori fisici quanto gli addetti ai parcheggi. Ragione per cui la raccolta centralizzata dei dati relativa alla posizione risulta particolarmente esposta (anche) al tracciamento fisico degli utenti stessi.