Il rivenditore online statunitense di occhiali da sole e da vista, Warby Parker, verrà a breve quotato pubblicamente: in vista dell’importante evento, la società ha rivelato di essere stata sotto indagine per la gestione di un delicato cyberattacco.
Warby Parker sotto indagine per la gestione di un cyberattacco
L’Ufficio per i diritti civili si è occupato di un’indagine che ha coinvolto Warby Parker per più di due anni. L’inchiesta riguardala la gestione dell’azienda di un attacco di cybersecurity avvenuto nel 2018 e che ha riguardato migliaia di conti dei suoi clienti, secondo quanto riferito dalla società attraverso una dichiarazione presentata prima della sua offerta pubblica. Nei prossimi giorni, infatti, Warby Parker verrà quotata pubblicamente.
L’indagine dell’Ufficio per i diritti civili è scaturita da un incidente avvenuto tre anni fa, in cui “parti non autorizzate” hanno presumibilmente cercato di accedere a quasi 200.000 account di clienti Warby Parker per due mesi utilizzando combinazioni di username e password da violazioni di dati non correlati.
All’epoca, la società aveva rivelato che gli hacker potrebbero aver avuto accesso agli ordini memorizzati e ai dati del profilo dei clienti. La società, tuttavia, non era riuscita a individuare prove che un simile evento fosse realmente accaduto.
L’indagine annunciata alla vigilia della quotazione pubblica
Anche se Warby Parker ha comunicato l’attacco nel 2018, l’indagine non era stata resa pubblica fino a poco tempo fa. L’S-1 di Warby Parker, un documento informativo che tutte le aziende devono presentare alla Securities Exchange Commission prima di un’offerta pubblica, mostra che l’OCR, una divisione del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti, ha aperto un’indagine e richiesto informazioni sull’incidente nel 2019.
La natura specifica o le potenziali violazioni dell’indagine non sono state esplicitate in modo chiaro, anche se la dichiarazione afferma che l’inchiesta è legata alla conformità dell’azienda, alla privacy HIPAA, alla sicurezza e alle regole di notifica della violazione, che richiedono alle aziende di seguire determinate linee guida quando le informazioni sanitarie non protette vengono violate.
Al momento, i portavoce dell’OCR e di Warby Parker non hanno risposto alle richieste di commento sull’indagine.
L’OCR può richiedere un accordo e un piano d’azione correttivo da uno a tre anni, tra le altre azioni, secondo l’archiviazione SEC di Warby Parker. “Continuiamo a lavorare su una risoluzione con l’OCR”, ha detto l’azienda nella dichiarazione.
Warby Parker e la politica di cybersecurity
All’epoca dell’incidente, Warby Parker ha spiegato di aver resettato le password degli account colpiti e di aver condotto un’indagine interna. Ha anche assunto degli esperti esterni di cybersecurity che supportassero la loro revisione dell’incidente, appositamente segnalato alle forze dell’ordine.
Gli incidenti di cybersicurezza e i tentativi di hacking sono aumentati in modo esponenziale dall’inizio della pandemia che ha colpito aziende, agenzie governative, scuole e ospedali. La società ha ammesso nella dichiarazione di poter essere più vulnerabile alle violazioni della sicurezza in un ambiente di lavoro da remoto: “Mentre impieghiamo una serie di misure di sicurezza progettate per prevenire, rilevare e mitigare il potenziale di danno ai nostri utenti dal furto o dall’uso improprio delle credenziali dell’utente sulla nostra rete, queste misure potrebbero non essere efficaci in ogni caso”.
