De Agostini Scuola, la divisione della nota casa editrice che si occupa di libri scolastici e di risorse per la didattica a distanza, è finita sotto attacco hacker. Lo ha affermato la stessa azienda in una comunicazione email inviata ai suoi utenti, nella quale precisa che nel corso dell'azione potrebbe essere stata sottratta una parte dei dati degli utenti del sito Deascuola.it, comprese le credenziali di accesso al portale online che comprendono nome utente e password. Il numero delle persone coinvolte potrebbe essere di 250.000, anche se su questo dettaglio l'azienda non ha fornito conferme.

Era da più di una settimana in realtà che gli utenti più attivi online avevano il sospetto che qualcosa del genere potesse essere successo. In modo simile a quanto avvenuto con l'operatore telefonico Ho Mobile, nei giorni scorsi erano trapelate online notizie della messa in vendita di un archivio di dati appartenente proprio a De Agostini Scuola e composto dalle informazioni raccolte sui suoi utenti; il gruppo aveva risposto di essere "al lavoro per analizzare i problemi legati alla fuga di dati", senza poi però dare più aggiornamenti sulla vicenda fino a poche ore fa.

Il dato non confermato dei 250.000 utenti coinvolti arriva proprio dalle prime indiscrezioni emerse sulla banca dati messa in vendita, mentre nelle comunicazioni ufficiali del gruppo inviate alle potenziali vittime si sottolinea come la società presti "da sempre la massima attenzione alla tutela della privacy". Affermazioni simili stridono però con i contenuti iniziali della missiva, nella quale De Agostini ha dovuto ammettere che la possibile violazione potrebbe portare a furti di identità, attacchi via phishing o accesso ad altri siti che utilizzano la stessa combinazione di nome utente e password utilizzata sul portale del gruppo.

Tra le informazioni rubate insomma potrebbero celarsi innanzitutto dati personali come nomi, cognomi e altre informazioni anagrafiche utili a potenziali criminali per impersonare le vittime nel corso di attività illecite, ma non solo: aver accennato al potenziale accsso ad altri siti lascia intendere che dal sito siano state rubate anche delle password, che in qualunque destinazione online votata alla sicurezza dovrebbero per lo meno essere protette da sistemi di crittografia. Non è chiaro infine se e quale tipo di informazioni relative ai minori destinatari dei servizi e dei prodotti del portale sia stato sottratto nell'azione.

Al momento il consiglio per chiunque sia registrato sul portale è quello di fare mente locale sulla combinazione di nome utente e password utilizzati per l'accesso: se la coppia è stata riutilizzata anche per altri siti, la prima cosa da fare è cambiarla per evitare di perdervi l'accesso. Non per niente De Agostini ha forzato sul suo sito un reset delle password degli utenti, che dovranno ora reimpostarle: le vecchie parole chiave evidentemente non sono più considerate sicure dall'azienda.

Di seguito il testo completo del messaggio inviato agli utenti:

Gentile Utente,
Con la presente ti informiamo che siamo venuti a conoscenza di una possibile violazione dei dati personali (un cosiddetto “data breach”) presenti nel portale “deascuola.it”.

Stiamo svolgendo accurate indagini interne, tuttavia non possiamo escludere un eventuale data breach che potrebbe comportare eventuali furti d’identità, attività di phishing o l’accesso non autorizzato al portale o ad altri siti Internet in cui sono state utilizzate le medesime username e password utilizzate nel portale.

Per minimizzare questo rischio, abbiamo resettato la tua password e, al prossimo accesso al portale “deascuola.it”, ti sarà chiesto di scegliere una nuova password. Inoltre, come ulteriore misura precauzionale, ti invitiamo a modificare username e password di accesso ad altri siti web, applicazioni o servizi digitali qualora dovessero corrispondere a quelle utilizzate per accedere al nostro portale.

La nostra società presta da sempre la massima attenzione alla tutela della privacy, con particolare riferimento all’adozione di misure di sicurezza conformi ai più alti standard di mercato, nonché a quanto richiesto dalla normativa sulla protezione dei dati personali, per evitare incidenti di sicurezza che comportino, in via accidentale o illecita, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali da noi trattati.

Per eventuali ulteriori chiarimenti, ti invitiamo a contattarci all’indirizzo deascuola.privacy@deagostiniscuola.it