Audit OSINT per una catena alberghiera europea

Settore

Ospitalità · catena boutique con 8-12 strutture · Europa centrale e orientale · 250-400 dipendenti.

Situazione iniziale

In vista di un round di finanziamento, il team direttivo ha chiesto di verificare quali informazioni sensibili sull'organizzazione fossero accessibili pubblicamente. La preoccupazione era stata innescata da un recente incidente di settore e dalla preparazione di un processo di due diligence in cui sarebbero state auditate le pratiche di trattamento dei dati.

Approccio

Abbiamo condotto un audit OSINT strutturato su quattro fronti: superficie tecnica (sottodomini esposti, repository pubblici, bucket non autenticati), superficie documentale (Scribd, SlideShare, repository accademici e portali di gara), superficie umana (profili professionali che lasciano trapelare dettagli di infrastruttura interna) e superficie fornitori. I risultati sono stati incrociati con l'inventario interno fornito sotto NDA. Ogni rilevazione è stata validata manualmente per escludere falsi positivi prima della consegna del report.

Risultato

Sono stati identificati documenti interni con dati personali di ospiti e dipendenti pubblicati involontariamente in repository esterni, oltre a credenziali storiche trapelate tramite violazioni di terzi. Abbiamo progettato un piano di contenimento di cinque giorni e preparato la documentazione necessaria per la notifica al regolatore competente entro i termini GDPR.

Insegnamento

Le fughe più gravi raramente nascono da un attacco sofisticato: nascono da processi di routine senza controllo su dove finiscono i documenti condivisi.

Tempo e impegno

12-18 giorni di calendario · 35-50 ore di consulenza · 1 report esecutivo + 1 report tecnico + 1 piano di remediation.

Tag

OSINT · GDPR · DPO · Gestione incidenti · Due diligence · Igiene documentale