45,7 milioni di account svaligiati , è questa la clamorosa cifra comunicata da TJX Companies ed emersa dalle indagini sulla fuga di dati individuata questo gennaio : una violazione della sicurezza molto peggiore di quella che si paventava all’inizio, e che un’analista di Gartner non esita a definire “la più grave mai registrata nel mondo”.
Il gruppo TJX Companies , proprietario della più grossa catena di hard discount degli Stati Uniti, ha rilasciato i nuovi dettagli sulla violazione durante un’audizione presso l’agenzia governativa Securities and Exchange Commission : dal rapporto si apprende che i cyber-criminali sono riusciti a penetrare nei sistemi informatici di gestione dei dati dei clienti sin dal luglio del 2005, installando software in grado di catturare informazioni quali nomi, indirizzi e numeri delle patenti di guida.
L’appropriazione indebita è continuata indisturbata fino alla metà di gennaio 2007, quando la backdoor è stata individuata e la raccolta bloccata. Per quanto riguarda le nude transazioni, risultano compromessi una quantità immane di numeri di carte di credito (con addebito e a saldo), assegni e dati riguardanti merce delle catene sussidiarie di TJX Marshalls, TJ Maxx, HomeGoods e AJ Wright.
Il grosso del “bottino” è stato raccolto tra Stati Uniti e Puerto Rico, ma non mancano al triste appello le transazioni finanziarie di hard discount in Canada, Irlanda e Regno Unito. Per cercare di correre ai ripari, TJX ha già stanziato 5 milioni di dollari nell’ultimo quarto dell’anno fiscale, a copertura dei costi di indagine, dell’upgrade dei meccanismi di protezione dei sistemi compromessi e della comunicazione del problema ai clienti .
Costi che, verosimilmente, sono destinati a crescere in maniera esponenziale, considerando il bailamme di cause legali con cui i clienti colpiti stanno investendo la società e le azioni conoscitive attivate da svariate organizzazioni governative americane. Oltre alla succitata SEC, che si è impegnata in un’indagine che comprende 30 diversi stati della confederazione, anche la Federal Trade Commission sta analizzando la questione per rilevare eventuali violazioni delle leggi a difesa dei dati dei consumatori.
Prima del caso TJX, l’unica breccia difensiva comparabile è stata quella che ha coinvolto CardSystems nel giugno del 2005: in quel caso i cittadini coinvolti ammontarono a 40 milioni. Tempo un mese e i cracker si sono rimessi al lavoro, pare, immettendosi nella rete di TJX attraverso un hub regionale wireless responsabile del controllo diretto degli apparati dei punti vendita, stando a quanto sostiene Avivah Litan di Gartner.
“Molti rivenditori non si stanno interessando dei loro punti vendita – dice l’analista – E molte società tendono a trascurare i dispositivi collegati ai loro network”, ammonendo infine che quanto successo a TJX potrebbe non essere in fondo tanto insolito. In un mondo in cui le transazioni finanziarie coinvolgono sempre più l’informatica e sempre meno il denaro fisico, il suo monito suona come un campanello d’allarme senza precedenti che invita a riprendere il controllo della situazione prima che sia troppo tardi.
Alfonso Maruccia