{"id":60701,"date":"2023-11-07T18:59:12","date_gmt":"2023-11-07T09:59:12","guid":{"rendered":"https:\/\/monolith.law\/it\/?p=60701"},"modified":"2023-11-10T23:07:25","modified_gmt":"2023-11-10T14:07:25","slug":"capcom-information-leakage-crisis-management","status":"publish","type":"post","link":"https:\/\/monolith.law\/it\/general-corporate\/capcom-information-leakage-crisis-management","title":{"rendered":"Il ruolo della gestione delle crisi e degli avvocati appreso dalla fuga di informazioni di Capcom"},"content":{"rendered":"\n<p>La fuga di informazioni di Capcom avvenuta nel novembre 2020 (anno 2 dell&#8217;era Reiwa) \u00e8 stata causata da un ransomware su misura, con la possibilit\u00e0 di aver esposto fino a 390.000 dati personali.<\/p>\n\n\n\n<p>Naturalmente, sarebbe meglio se tali incidenti non accadessero, e la prima cosa importante \u00e8 mettere in atto un sistema per prevenirli. Tuttavia, non importa quale sistema si adotti, \u00e8 impossibile ridurre completamente a zero la probabilit\u00e0 di tali eventi.<\/p>\n\n\n\n<p>Nel caso in cui un tale incidente dovesse verificarsi, quali misure e indagini dovrebbero essere intraprese immediatamente dopo, e quando e come dovrebbero essere annunciate?<\/p>\n\n\n\n<p>In questo articolo, dal punto di vista della gestione delle crisi per &#8220;incidenti di fuga di informazioni personali causati da malware&#8221;, spiegheremo in ordine cronologico l&#8217;incidente di fuga di informazioni di Capcom, per imparare il sistema di gestione delle crisi che dovrebbe essere in atto dalla risposta dell&#8217;azienda.<\/p>\n\n\n\n<p class=\"has-very-light-gray-background-color has-background\">\u203bGli avvocati hanno un alto dovere di riservatezza secondo la legge giapponese sugli avvocati per i casi in cui sono effettivamente coinvolti come avvocati. Questo articolo esprime l&#8217;opinione dell&#8217;avvocato sulla base delle informazioni pubblicamente disponibili su casi passati in cui il nostro studio non \u00e8 stato coinvolto.<\/p>\n\n\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_53 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/monolith.law\/it\/general-corporate\/capcom-information-leakage-crisis-management\/#Rivelazione_dell%E2%80%99incidente_e_risposta_iniziale\" title=\"Rivelazione dell&#8217;incidente e risposta iniziale\">Rivelazione dell&#8217;incidente e risposta iniziale<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/monolith.law\/it\/general-corporate\/capcom-information-leakage-crisis-management\/#Gestione_della_crisi_prima_della_scoperta_della_fuga_di_informazioni\" title=\"Gestione della crisi prima della scoperta della fuga di informazioni\">Gestione della crisi prima della scoperta della fuga di informazioni<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/monolith.law\/it\/general-corporate\/capcom-information-leakage-crisis-management\/#Comunicato_stampa_dopo_la_scoperta_di_una_fuga_di_informazioni\" title=\"Comunicato stampa dopo la scoperta di una fuga di informazioni\">Comunicato stampa dopo la scoperta di una fuga di informazioni<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/monolith.law\/it\/general-corporate\/capcom-information-leakage-crisis-management\/#Numero_di_informazioni_personali_potenzialmente_esposte\" title=\"Numero di informazioni personali potenzialmente esposte\">Numero di informazioni personali potenzialmente esposte<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/monolith.law\/it\/general-corporate\/capcom-information-leakage-crisis-management\/#Presenza_o_meno_di_fuga_di_informazioni_sulla_carta_di_credito_e_relative_misure\" title=\"Presenza o meno di fuga di informazioni sulla carta di credito e relative misure\">Presenza o meno di fuga di informazioni sulla carta di credito e relative misure<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/monolith.law\/it\/general-corporate\/capcom-information-leakage-crisis-management\/#Consulenza_e_consigli_da_avvocati_esterni_ecc\" title=\"Consulenza e consigli da avvocati esterni, ecc.\">Consulenza e consigli da avvocati esterni, ecc.<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/monolith.law\/it\/general-corporate\/capcom-information-leakage-crisis-management\/#Violazione_dei_dati_personali_e_gestione_delle_crisi\" title=\"Violazione dei dati personali e gestione delle crisi\">Violazione dei dati personali e gestione delle crisi<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/monolith.law\/it\/general-corporate\/capcom-information-leakage-crisis-management\/#Possibilita_di_fuga_di_informazioni_dei_candidati\" title=\"Possibilit\u00e0 di fuga di informazioni dei candidati\">Possibilit\u00e0 di fuga di informazioni dei candidati<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/monolith.law\/it\/general-corporate\/capcom-information-leakage-crisis-management\/#Costituzione_del_Comitato_di_Supervisione_della_Sicurezza_incluso_un_avvocato\" title=\"Costituzione del Comitato di Supervisione della Sicurezza, incluso un avvocato\">Costituzione del Comitato di Supervisione della Sicurezza, incluso un avvocato<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/monolith.law\/it\/general-corporate\/capcom-information-leakage-crisis-management\/#Pubblicazione_del_terzo_comunicato_stampa\" title=\"Pubblicazione del terzo comunicato stampa\">Pubblicazione del terzo comunicato stampa<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/monolith.law\/it\/general-corporate\/capcom-information-leakage-crisis-management\/#Sulla_possibilita_di_fuga_di_informazioni_personali_dei_candidati\" title=\"Sulla possibilit\u00e0 di fuga di informazioni personali dei candidati\">Sulla possibilit\u00e0 di fuga di informazioni personali dei candidati<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/monolith.law\/it\/general-corporate\/capcom-information-leakage-crisis-management\/#Gestione_delle_crisi_basata_sui_risultati_dell%E2%80%99indagine\" title=\"Gestione delle crisi basata sui risultati dell&#8217;indagine\">Gestione delle crisi basata sui risultati dell&#8217;indagine<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/monolith.law\/it\/general-corporate\/capcom-information-leakage-crisis-management\/#Pubblicazione_del_quarto_comunicato_stampa\" title=\"Pubblicazione del quarto comunicato stampa\">Pubblicazione del quarto comunicato stampa<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/monolith.law\/it\/general-corporate\/capcom-information-leakage-crisis-management\/#Report_e_risposta_sul_riscatto\" title=\"Report e risposta sul riscatto\">Report e risposta sul riscatto<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-15\" href=\"https:\/\/monolith.law\/it\/general-corporate\/capcom-information-leakage-crisis-management\/#Rilascio_su_siti_correlati_ecc\" title=\"Rilascio su siti correlati, ecc.\">Rilascio su siti correlati, ecc.<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-16\" href=\"https:\/\/monolith.law\/it\/general-corporate\/capcom-information-leakage-crisis-management\/#Riassunto\" title=\"Riassunto\">Riassunto<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Rivelazione_dell%E2%80%99incidente_e_risposta_iniziale\"><\/span>Rivelazione dell&#8217;incidente e risposta iniziale<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>L&#8217;incidente \u00e8 stato confermato il 2 novembre 2020.<\/p>\n\n\n\n<p>A questo punto, \u00e8 stato confermato un guasto di connessione al sistema interno, e sono state avviate le azioni per isolare il sistema e comprendere l&#8217;entit\u00e0 del danno.<\/p>\n\n\n\n<p>Lo stesso giorno, \u00e8 stato scoperto che la causa del guasto era la crittografia dei file su dispositivi di rete a causa di un attacco ransomware.<\/p>\n\n\n\n<p>Sui terminali danneggiati, \u00e8 stato scoperto un messaggio di minaccia da un gruppo che si fa chiamare &#8220;Ragnar Locker&#8221;.<\/p>\n\n\n\n<p>A questo punto, Capcom ha segnalato l&#8217;incidente alla polizia della prefettura di Osaka e ha richiesto il supporto per il recupero a un&#8217;azienda esterna.<\/p>\n\n\n\n<p>\u00c8 ovviamente necessario affrettarsi a ripristinare il sistema al momento dell&#8217;incidente per la continuit\u00e0 delle operazioni aziendali. Tuttavia, se si conferma un attacco ransomware, \u00e8 molto probabile che si tratti di un accesso non autorizzato, un&#8217;azione proibita dalla legge giapponese contro l&#8217;accesso non autorizzato.<\/p>\n\n\n\n<p>Prima che venga confermata la fuga di informazioni riservate, tra cui informazioni personali, e prima che venga identificato il percorso di intrusione, \u00e8 importante segnalare rapidamente l&#8217;incidente alla polizia.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Gestione_della_crisi_prima_della_scoperta_della_fuga_di_informazioni\"><\/span>Gestione della crisi prima della scoperta della fuga di informazioni<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2021\/05\/capcom-information-leakage-crisis-management1.jpg\" alt=\"\" class=\"wp-image-33052\" \/><\/figure>\n\n\n\n<p>Il giorno successivo all&#8217;incidente, il 4 novembre, Capcom ha rilasciato il suo primo comunicato stampa, intitolato &#8220;Annuncio riguardante l&#8217;insorgenza di un malfunzionamento del sistema dovuto ad accesso non autorizzato&#8221;.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>Abbiamo confermato che questo malfunzionamento \u00e8 stato causato da un accesso non autorizzato da parte di terzi, e abbiamo sospeso parzialmente l&#8217;operativit\u00e0 della nostra rete interna dallo stesso giorno. Ci scusiamo profondamente per l&#8217;enorme inconveniente che questo causer\u00e0 a tutte le parti coinvolte. Allo stato attuale, non abbiamo confermato alcuna fuga di informazioni del cliente.<\/p>\n\n\n\n<p><\/p>\n<cite><a href=\"https:\/\/www.capcom.co.jp\/ir\/news\/html\/201104.html\" target=\"_blank\" rel=\"noreferrer noopener\">Annuncio riguardante l&#8217;insorgenza di un malfunzionamento del sistema dovuto ad accesso non autorizzato [ja]<\/a><\/cite><\/blockquote>\n\n\n\n<p>A questo punto, si tratta solo di un &#8220;malfunzionamento del sistema&#8221; causato da un &#8220;accesso non autorizzato&#8221;, e la fuga di informazioni non \u00e8 ancora stata scoperta.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Comunicato_stampa_dopo_la_scoperta_di_una_fuga_di_informazioni\"><\/span>Comunicato stampa dopo la scoperta di una fuga di informazioni<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Numero_di_informazioni_personali_potenzialmente_esposte\"><\/span>Numero di informazioni personali potenzialmente esposte<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>La fuga di informazioni \u00e8 stata scoperta il 12 novembre.<\/p>\n\n\n\n<p>Sono state confermate 9 fughe di informazioni personali e alcune informazioni aziendali.<\/p>\n\n\n\n<p>Il giorno successivo, Capcom ha avviato un&#8217;indagine per determinare la causa con una grande azienda specializzata in sicurezza, e il 16 novembre ha rilasciato un comunicato stampa confermando la fuga di informazioni.<\/p>\n\n\n\n<p>A questo punto, <\/p>\n\n\n\n<ul>\n<li>Informazioni confermate come esposte<\/li>\n\n\n\n<li>Informazioni potenzialmente esposte<\/li>\n<\/ul>\n\n\n\n<p>sono state distinte, e per ciascuna di esse, <\/p>\n\n\n\n<ul>\n<li>Informazioni personali (clienti, partner commerciali, ecc.)<\/li>\n\n\n\n<li>Informazioni personali (dipendenti e affiliati)<\/li>\n\n\n\n<li>Informazioni aziendali (informazioni sulle vendite, informazioni sui partner commerciali, materiali di vendita, materiali di sviluppo, ecc.)<\/li>\n<\/ul>\n\n\n\n<p>sono state distinte e il numero approssimativo di ciascuna \u00e8 stato pubblicato.<\/p>\n\n\n\n<p>A questo punto, \u00e8 stato reso pubblico che &#8220;c&#8217;\u00e8 la possibilit\u00e0 di una fuga di informazioni personali di un massimo di circa 350.000 clienti&#8221;.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Presenza_o_meno_di_fuga_di_informazioni_sulla_carta_di_credito_e_relative_misure\"><\/span>Presenza o meno di fuga di informazioni sulla carta di credito e relative misure<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Inoltre, allo stesso tempo,<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>Tuttavia, poich\u00e9 la nostra azienda affida tutti i pagamenti per le vendite online, ecc. a terzi, non deteniamo informazioni sulla carta di credito e non ci sono fughe di informazioni sulla carta di credito.<\/p>\n<cite><a href=\"https:\/\/www.capcom.co.jp\/ir\/news\/html\/201116.html\" target=\"_blank\" rel=\"noreferrer noopener\">Avviso e scuse riguardanti la fuga di informazioni a causa di accesso non autorizzato[ja]<\/a> <\/cite><\/blockquote>\n\n\n\n<p>ha menzionato la presenza o meno di una fuga di informazioni sulla carta di credito, e inoltre, <\/p>\n\n\n\n<ul>\n<li>Misure per le persone che hanno confermato la fuga di informazioni personali e quelle che potrebbero averlo fatto<\/li>\n\n\n\n<li>Dettagli della scoperta e delle misure adottate<\/li>\n\n\n\n<li>Misure future<\/li>\n<\/ul>\n\n\n\n<p>ha rilasciato queste informazioni.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Consulenza_e_consigli_da_avvocati_esterni_ecc\"><\/span>Consulenza e consigli da avvocati esterni, ecc.<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>E nel comunicato stampa, <\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>Abbiamo riferito la situazione a una grande azienda di software, un grande fornitore specializzato in sicurezza e un avvocato esterno con una profonda conoscenza della sicurezza informatica, e abbiamo ottenuto la loro consulenza e consigli. Inizieremo a contattare coloro che hanno confermato la fuga di informazioni e le parti interessate, e continueremo a indagare sulle informazioni che potrebbero essere state rubate.<\/p>\n<cite><a href=\"https:\/\/www.capcom.co.jp\/ir\/news\/html\/201116.html\" target=\"_blank\" rel=\"noreferrer noopener\">Avviso e scuse riguardanti la fuga di informazioni a causa di accesso non autorizzato[ja]<\/a> <\/cite><\/blockquote>\n\n\n\n<p>ha dichiarato questo.<\/p>\n\n\n\n<p>Inoltre, sono stati preparati un &#8220;centro di contatto per le informazioni personali&#8221; e un &#8220;centro di contatto dedicato alla fuga di informazioni di Capcom&#8221;, entrambi con un numero verde, come &#8220;centro di contatto per gli utenti dei giochi&#8221; e &#8220;centro di contatto generale&#8221;.<\/p>\n\n\n\n<p>E ci sono voluti 4 giorni dal momento in cui \u00e8 stata scoperta la fuga di almeno alcune informazioni fino alla pubblicazione del comunicato stampa che conferma la fuga di informazioni.<\/p>\n\n\n\n<p>Questo \u00e8 probabilmente il tempo necessario per verificare le informazioni dettagliate sopra menzionate e prendere decisioni sulle future misure.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Violazione_dei_dati_personali_e_gestione_delle_crisi\"><\/span>Violazione dei dati personali e gestione delle crisi<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>A differenza del primo rapporto sulla &#8220;malfunzionamento del sistema&#8221;, il secondo rapporto che afferma &#8220;potrebbero essere state violate fino a 350.000 informazioni personali dei clienti&#8221; viene riportato da vari media.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>Capcom ha subito un attacco di accesso non autorizzato da ransomware su misura da terzi, e le informazioni personali detenute dal gruppo Capcom sono state violate. Al 16 novembre, le informazioni che potrebbero essere state violate includono fino a circa 350.000 casi, inclusi clienti e fornitori. C&#8217;\u00e8 anche la possibilit\u00e0 che siano state violate materie prime commerciali e materiali di sviluppo.<\/p>\n<cite><a href=\"https:\/\/www.bcnretail.com\/market\/detail\/20201118_200070.html\" target=\"_blank\" rel=\"noreferrer noopener\">Capcom, fino a 350.000 violazioni di informazioni personali a causa di accesso non autorizzato &#8220;Nessun problema con il gameplay&#8221; &#8211; BCN+R[ja]<\/a><\/cite><\/blockquote>\n\n\n\n<p>Tuttavia, poich\u00e9 le informazioni come &#8220;la storia della scoperta e della risposta&#8221; e &#8220;la risposta futura&#8221; erano state rese pubbliche al momento del comunicato stampa, l&#8217;articolo sopra citato si conclude con frasi come &#8220;In futuro, lavoreremo con le autorit\u00e0 di polizia e stabiliremo un&#8217;organizzazione di consulenza sulla sicurezza del sistema da esperti esterni per prevenire la ricorrenza. Non ci sar\u00e0 alcun danno esteso agli utenti o all&#8217;esterno a causa dell&#8217;accesso a Internet per giocare ai giochi della societ\u00e0 o all&#8217;accesso al sito web della societ\u00e0. Inoltre, per gli utenti che potrebbero aver avuto una violazione delle informazioni personali, stiamo chiedendo di fare attenzione poich\u00e9 potrebbero ricevere posta sconosciuta o contatti sospetti.&#8221;<\/p>\n\n\n\n<p>In un comunicato stampa dopo la scoperta della violazione delle informazioni personali, \u00e8 importante rivelare informazioni piuttosto complete, comprese &#8220;la storia della scoperta e della risposta&#8221; e &#8220;la risposta futura&#8221;, come sopra.<\/p>\n\n\n\n<p>E al momento della scoperta della violazione delle informazioni personali,<\/p>\n\n\n\n<ul>\n<li>Grandi aziende di software<\/li>\n\n\n\n<li>Grandi fornitori specializzati in sicurezza<\/li>\n\n\n\n<li>Avvocati esterni esperti in cybersecurity<\/li>\n<\/ul>\n\n\n\n<p>\u00c8 importante formare un team di esperti esterni come sopra e procedere con il contatto con i clienti la cui fuga di informazioni \u00e8 stata confermata, la pubblicit\u00e0 di gestione delle crisi, ecc., parallelamente alle misure IT puramente causali.<\/p>\n\n\n\n<p>Inoltre, nel caso di una societ\u00e0 quotata, \u00e8 necessario spiegare agli azionisti come parte di questa pubblicit\u00e0 di gestione delle crisi.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Possibilita_di_fuga_di_informazioni_dei_candidati\"><\/span>Possibilit\u00e0 di fuga di informazioni dei candidati<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2021\/05\/capcom-information-leakage-crisis-management2.jpg\" alt=\"\" class=\"wp-image-33053\" \/><\/figure>\n\n\n\n<p>Inoltre, nel comunicato stampa pubblicato, che menziona la &#8220;possibilit\u00e0 di fuga di informazioni&#8221; e &#8220;informazioni personali (clienti, partner commerciali, ecc.) fino a circa 350.000&#8221;, c&#8217;\u00e8 un punto riguardante &#8220;informazioni sui candidati (circa 125.000)&#8221;, e ci sono state voci di dubbio sui social media in relazione al fatto che Capcom aveva dichiarato sul suo sito di reclutamento che avrebbe distrutto tali informazioni.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>Capcom aveva dichiarato sul suo sito di reclutamento che &#8220;dopo la selezione, distruggeremo responsabilmente le domande di coloro che non sono stati assunti o che hanno rifiutato l&#8217;offerta di lavoro&#8221;. Ci sono voci di dubbio su Twitter riguardo al fatto che le informazioni personali che avrebbero dovuto essere distrutte non lo erano. Capcom si \u00e8 scusata, spiegando che &#8220;abbiamo digitalizzato i curriculum dei candidati e li abbiamo conservati per un certo periodo di tempo&#8221; e che &#8220;a causa della mancanza di riferimenti alla digitalizzazione, l&#8217;espressione era insufficiente e ha causato un malinteso&#8221;. Riguardo alla ragione della conservazione, hanno spiegato che &#8220;alcuni candidati si candidano pi\u00f9 volte. Era per verificare facilmente la storia delle domande precedenti&#8221;. Riguardo al fatto che conservavano i dati di tutti i candidati, hanno dichiarato che &#8220;al momento non \u00e8 chiaro&#8221;.<\/p>\n<cite><a href=\"https:\/\/www.itmedia.co.jp\/news\/articles\/2011\/20\/news141.html\" target=\"_blank\" rel=\"noreferrer noopener\">Capcom, non distrugge le domande di lavoro dei candidati non assunti. Anche se sul sito di reclutamento \u00e8 scritto &#8220;distruggiamo con responsabilit\u00e0&#8221;, c&#8217;\u00e8 la possibilit\u00e0 di fuga di informazioni a seguito di un attacco informatico &#8211; ITmedia NEWS[ja]<\/a> <\/cite><\/blockquote>\n\n\n\n<p>Non \u00e8 chiaro se Capcom avesse previsto queste voci di dubbio, ma se ci sono informazioni che &#8220;non dovrebbero esistere (e sarebbe comprensibile se fossero considerate tali)&#8221; all&#8217;interno dell&#8217;azienda e c&#8217;\u00e8 la possibilit\u00e0 che queste siano state divulgate, sarebbe meglio rilasciare un comunicato stampa dopo aver considerato anche questo problema in anticipo.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Costituzione_del_Comitato_di_Supervisione_della_Sicurezza_incluso_un_avvocato\"><\/span>Costituzione del Comitato di Supervisione della Sicurezza, incluso un avvocato<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2021\/05\/capcom-information-leakage-crisis-management3.jpg\" alt=\"\" class=\"wp-image-33054\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Pubblicazione_del_terzo_comunicato_stampa\"><\/span>Pubblicazione del terzo comunicato stampa<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Inoltre, Capcom ha tenuto una riunione preparatoria il 21 dicembre per la costituzione del &#8220;Comitato di Supervisione della Sicurezza&#8221;, un&#8217;organizzazione di consulenza sulla sicurezza dei sistemi guidata da esperti esterni.<\/p>\n\n\n\n<p>L&#8217;anno successivo, il 12 gennaio 2021, ha pubblicato il terzo comunicato stampa intitolato &#8220;Annuncio e scuse riguardanti la fuga di informazioni a seguito di accesso non autorizzato\u3010Terzo rapporto\u3011&#8221;,<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>\u00c8 stato confermato un ulteriore leak di 16.406 persone, portando il totale da quando \u00e8 iniziato questo caso a 16.415 persone. Inoltre, \u00e8 stato rilevato che il numero massimo di informazioni personali di clienti, partner commerciali e altre persone esterne che potrebbero essere state divulgate \u00e8 di circa 390.000 persone (un aumento di circa 40.000 rispetto alla volta precedente).<\/p>\n<\/blockquote>\n\n\n\n<p>Le informazioni sono state aggiornate in base all&#8217;andamento dell&#8217;indagine. Inoltre, oltre al fatto che le informazioni delle carte di credito non sono state divulgate,<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>Per quanto riguarda la connessione a Internet e l&#8217;acquisto tramite download necessari per giocare ai nostri giochi, non abbiamo mai utilizzato il sistema che \u00e8 stato attaccato questa volta, ma abbiamo sempre utilizzato un server esterno o un server esterno. Pertanto, la connessione a Internet e l&#8217;acquisto tramite download necessari per giocare ai nostri giochi non hanno nulla a che fare con l&#8217;attacco cibernetico al nostro sistema questa volta, e non ci sar\u00e0 alcun danno per i clienti.<\/p>\n<cite><a href=\"https:\/\/www.capcom.co.jp\/ir\/news\/html\/210112.html\" target=\"_blank\" rel=\"noreferrer noopener\">Annuncio e scuse riguardanti la fuga di informazioni a seguito di accesso non autorizzato\u3010Terzo rapporto\u3011 | Capcom Co., Ltd. [ja]<\/a><\/cite><\/blockquote>\n\n\n\n<p>\u00c8 stata anche fatta questa dichiarazione.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Sulla_possibilita_di_fuga_di_informazioni_personali_dei_candidati\"><\/span>Sulla possibilit\u00e0 di fuga di informazioni personali dei candidati<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Inoltre, in questa occasione, come &#8220;informazioni la cui fuga \u00e8 stata confermata&#8221;, \u00e8 stata annunciata la possibilit\u00e0 di fuga di informazioni personali di &#8220;circa 58.000 candidati&#8221;, specificamente &#8220;uno o pi\u00f9 di nome, indirizzo, numero di telefono, indirizzo e-mail, ecc.&#8221;<br><\/p>\n\n\n\n<p>A questo proposito,<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>Per quanto riguarda le informazioni dei candidati, \u00e8 stato rivelato a novembre che l&#8217;azienda aveva conservato le informazioni anche dopo la selezione, in relazione all&#8217;attacco cibernetico all&#8217;azienda. Inizialmente, nel sito di reclutamento, era scritto &#8220;Dopo la selezione, distruggeremo le informazioni con responsabilit\u00e0 nella nostra azienda&#8221;. Poi, a dicembre 2020, \u00e8 stata aggiunta la frase &#8220;A causa della possibilit\u00e0 di riapplicazione, potremmo conservare per un certo periodo di tempo i dati digitalizzati dei documenti di candidatura che abbiamo ricevuto, al fine di confermare facilmente le precedenti applicazioni, ecc.&#8221;. Secondo l&#8217;azienda, &#8220;Le informazioni personali dei candidati sono ancora conservate nel nostro sistema interno, e l&#8217;operazione non \u00e8 cambiata molto rispetto a prima dell&#8217;accesso non autorizzato.<\/p>\n<cite><a href=\"https:\/\/www.itmedia.co.jp\/news\/articles\/2101\/13\/news075.html\" target=\"_blank\" rel=\"noreferrer noopener\">Capcom, conferma la fuga di informazioni personali di 16.000 persone. Anche la possibilit\u00e0 di fuga di altre 58.000 persone \u00e8 stata rivelata nell&#8217;attacco cibernetico di novembre 2020 &#8211; ITmedia NEWS[ja]<\/a> <\/cite><\/blockquote>\n\n\n\n<p>\u00c8 stato riportato.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Gestione_delle_crisi_basata_sui_risultati_dell%E2%80%99indagine\"><\/span>Gestione delle crisi basata sui risultati dell&#8217;indagine<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Pubblicazione_del_quarto_comunicato_stampa\"><\/span>Pubblicazione del quarto comunicato stampa<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>In seguito, Capcom ha tenuto la prima riunione del Comitato di Supervisione della Sicurezza il 18 gennaio, la seconda il 25 febbraio e la terza il 26 marzo, mantenendo un ritmo mensile. Inoltre, il 31 marzo, ha ricevuto un rapporto di indagine da una grande azienda specializzata in sicurezza e un rapporto da una grande azienda di software.<\/p>\n\n\n\n<p>In risposta a ci\u00f2, il 13 aprile, ha pubblicato il quarto comunicato stampa intitolato &#8220;Rapporto sui risultati dell&#8217;indagine sull&#8217;accesso non autorizzato [Quarto rapporto]&#8221;.<\/p>\n\n\n\n<p>In questo, ha fornito una dettagliata spiegazione tecnica basata sui rapporti ricevuti, tra cui &#8220;Cronologia delle risposte&#8221;, &#8220;Cause e portata del danno&#8221; e &#8220;Misure per rafforzare la sicurezza per prevenire la ricorrenza&#8221;. Inoltre, ha citato l&#8217;istituzione del Comitato di Supervisione della Sicurezza, che include un avvocato specializzato in sicurezza informatica e leggi sulla protezione dei dati personali, come misura organizzativa.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Report_e_risposta_sul_riscatto\"><\/span>Report e risposta sul riscatto<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2021\/05\/capcom-information-leakage-crisis-management4.jpg\" alt=\"\" class=\"wp-image-33055\" \/><\/figure>\n\n\n\n<p>Da notare che il 1\u00b0 marzo, \u00e8 stato riportato che il gruppo di criminalit\u00e0 informatica &#8220;Ragnar Locker&#8221; ha richiesto un riscatto di circa 1,15 miliardi di yen a Capcom.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>Il gruppo di criminalit\u00e0 informatica &#8220;Ragnar Locker&#8221; ha pubblicato file che sostiene di aver rubato dalle aziende sul suo sito web e ha richiesto un riscatto di 11 milioni di dollari in Bitcoin (circa 1,15 miliardi di yen), ma Capcom ha rifiutato di pagare al momento.<\/p>\n<cite><a href=\"https:\/\/diamond.jp\/articles\/-\/263660\" target=\"_blank\" rel=\"noreferrer noopener\">Capcom rifiuta di pagare 1,15 miliardi di yen! Perch\u00e9 non dovresti pagare il riscatto anche in caso di attacco ransomware | Misure di sicurezza nell&#8217;era del telelavoro | Diamond Online[ja]<\/a> <\/cite><\/blockquote>\n\n\n\n<p>In risposta a ci\u00f2, nel quarto comunicato stampa sopra menzionato, riguardo al riscatto, ha dichiarato:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>Riconoscimento dell&#8217;importo del riscatto<br>Un file di messaggio dall&#8217;attaccante \u00e8 rimasto sul dispositivo infettato dal ransomware, ed \u00e8 vero che siamo stati richiesti di contattare l&#8217;attaccante per negoziare, ma non c&#8217;era alcuna menzione dell&#8217;importo del riscatto nel file. Come gi\u00e0 riportato, abbiamo deciso di non negoziare con l&#8217;attaccante dopo aver consultato la polizia, e in realt\u00e0 non abbiamo avuto alcun contatto (vedi il comunicato stampa del 16 novembre 2020), quindi non siamo a conoscenza dell&#8217;importo.<\/p>\n<cite><a href=\"https:\/\/www.capcom.co.jp\/ir\/news\/html\/210413.html\" target=\"_blank\" rel=\"noreferrer noopener\">Rapporto sui risultati dell&#8217;indagine sull&#8217;accesso non autorizzato [Quarto rapporto] | Capcom Co., Ltd.[ja]<\/a> <\/cite><\/blockquote>\n\n\n\n<p>Questo sembra essere una risposta al fatto che l&#8217;importo specifico di &#8220;1,15 miliardi di yen&#8221; \u00e8 stato rivelato nei rapporti sopra menzionati.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Rilascio_su_siti_correlati_ecc\"><\/span>Rilascio su siti correlati, ecc.<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Inoltre, Capcom, lo stesso giorno, non solo sul suo sito aziendale, ma anche su siti come &#8220;CAPCOM: Shadaloo Combat Research Institute&#8221; (sito correlato a Street Fighter 5) e &#8220;CAPCOM ONLINE GAMES&#8221;, ha pubblicato pagine come:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n[Aggiornamento] Avviso riguardo al malfunzionamento del sistema di gruppo<br>Grazie per l&#8217;utilizzo di &#8220;Capcom Online Games (COG)&#8221;. Abbiamo pubblicato le ultime informazioni sul malfunzionamento del sistema del nostro gruppo causato da un accesso non autorizzato da parte di terzi nelle prime ore del 2 novembre 2020. Per i dettagli, si prega di controllare qui.<\/p>\n<cite><a href=\"https:\/\/www.capcom-onlinegames.jp\/pc\/info\/info.html?news_id=3447\" target=\"_blank\" rel=\"noreferrer noopener\">Dettagli dell&#8217;avviso | Capcom Online Games[ja]<\/a> <\/cite><\/blockquote>\n\n\n\n<p>Ha pubblicato pagine come questa.<\/p>\n\n\n\n<p>Come era stato rivelato nelle prime fasi della fuga di informazioni, si trattava di un caso in cui &#8220;si utilizzava un server esterno o si affidava a terzi&#8221;, e &#8220;non c&#8217;era alcuna relazione tra l&#8217;attacco informatico al nostro sistema e la connessione a Internet o l&#8217;acquisto di download per giocare ai giochi, e non ci sarebbe stato alcun danno per i clienti&#8221;, ma<\/p>\n\n\n\n<p>Si ritiene che al momento della segnalazione dei risultati dell&#8217;indagine, ha pubblicato nuovamente un comunicato su ciascun sito per non causare ansia agli utenti.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Riassunto\"><\/span>Riassunto<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Come abbiamo visto, nei casi in cui si verifica una fuga di informazioni personali su larga scala, \u00e8 importante:<\/p>\n\n\n\n<ul>\n<li>Segnalare prontamente l&#8217;incidente alla polizia<\/li>\n\n\n\n<li>Preparare un sistema per segnalare la situazione e ottenere consulenza e orientamento da &#8220;avvocati esterni esperti in sicurezza informatica&#8221;<\/li>\n\n\n\n<li>Gestione della comunicazione di crisi da parte del team sopra menzionato<\/li>\n<\/ul>\n\n\n\n<p>E, una volta che si \u00e8 raccolta una certa quantit\u00e0 di informazioni,<\/p>\n\n\n\n<ul>\n<li>Formare un comitato di supervisione della sicurezza, incluso un avvocato<\/li>\n<\/ul>\n\n\n\n<p>Possiamo dire che \u00e8 importante gestire la crisi in modo rapido e organizzato.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>La fuga di informazioni di Capcom avvenuta nel novembre 2020 (anno 2 dell&#8217;era Reiwa) \u00e8 stata causata da un ransomware su misura, con la possibilit\u00e0 di aver esposto fino a 390.000 dati personali. [&hellip;]<\/p>\n","protected":false},"author":32,"featured_media":60797,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[18],"tags":[24,29],"acf":[],"_links":{"self":[{"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/posts\/60701"}],"collection":[{"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/comments?post=60701"}],"version-history":[{"count":1,"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/posts\/60701\/revisions"}],"predecessor-version":[{"id":60798,"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/posts\/60701\/revisions\/60798"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/media\/60797"}],"wp:attachment":[{"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/media?parent=60701"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/categories?post=60701"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/monolith.law\/it\/wp-json\/wp\/v2\/tags?post=60701"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}