Vulnerabilità Microsoft Teams: l’inadeguata conoscenza del GDPR espone al rischio cyber

Microsoft Teams nel mirino hacker: quanto è importante il GDPR?

Con l’introduzione generalizzata dello smart working, il ricorso a numerose piattaforme online, per implementare il lavoro da remoto, si è reso ormai sempre più frequente e necessario. Non sorprende, dunque, che la recente popolarità acquisita da molte piattaforme e software di video conferenza abbiano costituito un immediato e facile bersaglio da parte degli hackers.

Dopo il caso che ha riguardato la piattaforma Zoom – a causa della pubblicazione, sul Dark Web, di un database contente le credenziali di accesso di numerosi utenti – , anche la piattaforma Microsoft Teams è stata posta sotto attacco. Microsoft Teams è una piattaforma di comunicazione che include molteplici funzionalità di chat, videoconferenza, archiviazione di file e integrazione delle applicazioni, ed è una delle piattaforme più utilizzate per la didattica da remoto.

I ricercatori di CyberArk avevano individuato una vulnerabilità nascosta. In particolare, essi avevano rilevato che vulnerabilità poteva essere sfruttata creando un collegamento o un file GIF predisposti ad-hoc. Nello specifico, per realizzare l’attacco si sfruttava un token Web JSON (“authtoken”), nonché un secondo “token skype”, adoperati per consentire agli utenti Teams e Skype di poter ricevere file immagine durante le chat.

Sebbene la vulnerabilità sia stata subito individuata ed opportunamente corretta dagli operatori di Microsoft Teams, il caso dimostra l’importanza del rispetto del GDPR e della cybersecurity.

L’impiego di tali risorse richiede comunque, da parte del Titolare del trattamento, il rispetto dei principi e delle regole imposte dal GDPR, in particolare:

  • La sicurezza del trattamento, come previsto dall’art. 32 GDPR;
  • L’implementazione di misure che garantiscano la privacy by default e by design;
  • Il rispetto dei diritti dell’interessato;

 

Inoltre, ogniqualvolta tali piattaforme vengano utilizzate dai dipendenti pubblici o privati, un’adeguata conoscenza e formazione in materia di sicurezza informatica risulta essenziale: in effetti, il primo fattore di vulnerabilità dei sistemi – ivi compreso quello relativo alla data protection – è costituito dall’errore umano, causato da un’errata valutazione o da una scarsa percezione del problema e delle criticità conseguibili.

Tra questi, rientra anche il download di installer che, fraudolentemente, si spacciano per applicazioni molto conosciute come Zoom, Webex e Slack: questi, in realtà, contengono minacce adware “advertising supported software” (software sovvenzionato da pubblicità).  Si tratta software che adoperano metodologie subdole, che possono determinare il trasferimento su un altro programma, al fine di provocarne con l’inganno l’installazione su PC, tablet o dispositivo mobile.

 

 

L’importanza della formazione e della consulenza specialistica come fattore di prevenzione

 

Le nuove minacce congeniate dai cyber- criminali espongono gli operatori economici e le Pubbliche amministrazioni a nuove criticità e preoccupazioni. In questi casi, l’assenza di formazione ed informazione su tali aspetti costituiscono i primi fattori di vulnerabilità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya presenta gli innovativi percorsi di formazione:

I percorsi formativi sono rivolti al personale di enti pubblici e privati, a tutti i datori di lavoro e liberi professionisti interessati alla materia.

 

Inoltre, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

 

 

 

/da
Potrebbero interessarti
Indennità Covid-19 nel mirino hacker: clonato il portale INPS
Piani Triennali per la Prevenzione della Corruzione 2020-2022: dall’Anac i chiarimenti sulla Piattaforma per l’acquisizione dei dati
Conservazione documenti digitali, parere Garante all’AgID: aumentare la protezione dei dati personali contenuti nei documenti informatici
La privacy ai tempi del coronavirus: nessun intralcio alle misure anti-contagio
Domicili Digitali, Agid lancia una consultazione sulle nuove Linee Guida
Il settore aereo non è “Immune” al rischio cyber: Easyjet, a rischio più di 9 milioni di…
La sicurezza sul lavoro ai tempi dello smart working: il pericolo è cyber Allerta Covid-19, dopo l’ok del Garante istituita la piattaforma unica nazionale:...
Verified by MonsterInsights