EasyPark Group, uno dei principali operatori di app per parcheggi in Europa, ha ufficialmente segnalato alle autorità di regolamentazione dell’informazione nell’UE e nel Regno Unito un grave attacco informatico, durante il quale gli attaccanti sono riusciti a rubare dati sensibili dei clienti. Un “data breach” scrive la stessa società.
Attacco informatico a EasyPark, l’app dei parcheggi
La società, nota per i suoi marchi tra cui RingGo e ParkMobile, ha confermato che nomi dei clienti, numeri di telefono, indirizzi, indirizzi e-mail e parti di numeri di carte di credito sono stati compromessi. Tuttavia, ha rassicurato gli utenti affermando che i dati relativi al parcheggio non sono stati coinvolti nell’incidente.
La portata esatta dell’attacco non è stata specificata, ma la società ha dichiarato che 950 utenti di RingGo nel Regno Unito sono stati coinvolti nel furto. Un portavoce ha suggerito che la maggior parte degli utenti interessati è rappresentata dagli utenti europei del marchio EasyPark, indicando potenzialmente un numero significativo di clienti colpiti.
L’incidente solleva preoccupazioni sulla crescente centralizzazione dei servizi di parcheggio in tutto il mondo, con app, siti web e linee telefoniche automatizzate che sostituiscono sempre più contatori fisici e personale dedicato ai parcheggi. Sebbene le macchine operatrici possano offrire maggiore efficienza, la sicurezza dei dati personali diventa una priorità critica, specialmente considerando la natura sensibile delle informazioni rubate.
EasyPark si è affermata come la più grande app di parcheggio in Europa in termini di copertura. La società, di proprietà degli investitori di private equity Vitruvian Partners e Verdane, ha acquisito notorietà dopo essere stata ceduta da BMW e Daimler nel 2021. Le sue app, tra cui EasyPark, ParkMobile, RingGo e Park-line, operano in oltre 4.000 città in 23 paesi, compresi Stati Uniti, Australia, Nuova Zelanda e gran parte dell’Europa occidentale.
Contrariamente alle preoccupazioni, la società ha dichiarato che il marchio ParkMobile, con 50 milioni di utenti negli Stati Uniti, non è stato coinvolto nell’attacco. Gli utenti di RingGo, invece, sono stati colpiti poiché alcuni dei suoi servizi erano integrati con la tecnologia EasyPark, anche se la piattaforma RingGo in sé non è stata violata.
La società ha scoperto l’attacco il 10 dicembre e ha iniziato a informare i clienti interessati giorni dopo. Le autorità di regolamentazione della privacy svedese, l’ufficio del commissario per l’informazione nel Regno Unito e l’autorità di regolamentazione dei dati svizzera sono state tutte informate dell’incidente. Della natura dell’attacco e i dettagli tecnici dello stesso non sono stati al momento resi noti, tuttavia analizzando le dichiarazioni e gli impatti prodotti, potrebbe essere plausibile un attacco di tipo ransomware con esfiltrazione dei dati.
Ricordiamo che non si sono verificati disservizi sull’operatività delle app coinvolte, il che potrebbe significare che sia stato coinvolta parte dell’infrastruttura non operativa ma dedicata alla conservazione dei dati (e log). Inoltre dalle verifiche che Cybersecurity360 ha avuto modo di effettuare, si può assumere al momento della stesura di questo articolo, che non ci siano lato criminale rivendicazioni pubbliche di tale attacco.
EasyPark ha rassicurato i clienti affermando che, sebbene alcune informazioni sensibili facessero parte della violazione, nessuna combinazione di dati rubati potrebbe essere utilizzata per effettuare pagamenti. Tuttavia, ha avvertito gli utenti di essere vigili contro il phishing, un possibile rischio derivante dall’utilizzo delle informazioni rubate per indurre le persone a fornire denaro o dettagli di pagamento.
In Italia, dove l’app si chiama proprio EasyPark, la società ha specificato che “nessun dato riguardante la posizione, la registrazione del veicolo o le sessioni di parcheggio è stato accessibile in questa violazione dei dati.”
L’incidente solleva importanti questioni sulla sicurezza dei dati personali nell’era della digitalizzazione dei servizi di parcheggio e pone l’accento sull’importanza di stringenti misure di sicurezza per proteggere le informazioni sensibili degli utenti. Inoltre una prima mitigazione, qualora non si possa fare a meno dell’utilizzo di tali applicazioni, è quella di sfruttare servizi di pagamento terzi per la convalida delle transazioni economiche. EasyPark, per esempio, accetta come metodo di pagamento anche PayPal, oltre che affidare direttamente all’azienda i dati della propria carta di credito. In questo modo non è garantita una maggiora sicurezza in valore assoluto, ma una mitigazione del rischio, operata proprio dalla diversificazione degli strumenti utilizzati.