10 più grandi violazioni di dati negli Stati Uniti [2026]

1. Introduzione: perché le violazioni dei dati sono un rischio per le organizzazioni negli USA?#

Le violazioni dei dati negli Stati Uniti sono aumentate negli ultimi anni, diventando una preoccupazione critica per organizzazioni, individui e organismi governativi allo stesso modo. Il numero di incidenti segnalati ha raggiunto quota 3.158 solo nel 2024, colpendo oltre 1,35 miliardi di persone. Questo rappresenta un allarmante aumento dal 2021, considerando che in quell'anno sono state registrate solo 1.862 violazioni. Settori come i servizi finanziari, la sanità e i servizi professionali sono stati colpiti in modo particolarmente duro, evidenziando la loro vulnerabilità e attrattiva per i criminali informatici. Le violazioni nella sanità, in particolare, si sono rivelate notevolmente gravi e persistenti. Nel 2023, la sconcertante cifra di 725 violazioni di dati relative alla sanità ha esposto più di 133 milioni di record, con il singolo incidente più grande che ha colpito 11,3 milioni di individui. Entro aprile 2024, solo 54 violazioni in ambito sanitario sono arrivate a colpire oltre 15 milioni di pazienti.

In questo blog, analizziamo le dieci violazioni di dati più significative nella storia degli Stati Uniti, scoprendo come si sono verificate, i loro impatti e le lezioni che le organizzazioni devono imparare per proteggersi da minacce future.

2. Perché gli Stati Uniti sono un bersaglio attraente per le violazioni dei dati?#

Essendo la più grande economia del mondo, gli Stati Uniti rappresentano un bersaglio attraente per i criminali informatici a causa di alcuni criteri specifici:

2.1 L'economia più grande e il volume di dati#

Gli Stati Uniti si ergono a più grande economia mondiale e ad hub globale per settori che includono tecnologia, finanza, sanità e vendita al dettaglio, ognuno dei quali genera e archivia enormi quantità di dati sensibili. Questi vasti archivi di dati rappresentano bersagli redditizi per gli aggressori che cercano un guadagno finanziario, preziosa proprietà intellettuale o informazioni personali per il furto di identità e le frodi.

2.2 Presenza di grandi aziende e agenzie governative#

Essendo una potenza economica globale, gli Stati Uniti ospitano molte aziende Fortune 500, multinazionali e agenzie governative fondamentali responsabili delle infrastrutture e della sicurezza nazionale. Queste organizzazioni gestiscono ampi database contenenti dati operativi, dei dipendenti e dei clienti estremamente sensibili. La natura critica di queste informazioni aumenta sia la probabilità che la gravità delle violazioni, amplificando i danni potenziali inflitti dagli incidenti informatici.

2.3 Mosaico normativo#

Il frammentato panorama normativo tra gli stati e i settori statunitensi crea standard di sicurezza informatica incoerenti, portando a potenziali lacune nella protezione dei dati e nella loro applicazione. Rispetto ai paesi con normative rigorose e uniformi sulla sicurezza informatica, questo approccio a mosaico abbassa le barriere per i criminali informatici, rendendo più semplice per loro identificare e sfruttare le vulnerabilità.

Nel loro insieme, questi fattori posizionano gli Stati Uniti come un ambiente particolarmente vulnerabile e attraente per le minacce informatiche, rendendo necessarie misure proattive di sicurezza informatica.

3. Le più grandi violazioni di dati negli USA#

Di seguito, si trova un elenco delle più grandi violazioni di dati negli Stati Uniti. Le violazioni dei dati sono ordinate in base al numero di account interessati in ordine decrescente.

3.1 Violazione dei dati di Yahoo (2013-2016)#

In una serie di attacchi informatici tra il 2013 e il 2016, Yahoo ha subito quella che rimane la più grande violazione di dati nella storia degli Stati Uniti, compromettendo circa 3 miliardi di account utente. Le informazioni rubate includevano nomi, indirizzi e-mail, numeri di telefono, date di nascita, password con hashing (utilizzando MD5, considerato insicuro) e domande e risposte di sicurezza non crittografate. La violazione è stata collegata ad attori sponsorizzati dallo stato, con i sospetti che puntavano verso operativi russi.

L'impatto è stato enorme: la reputazione di Yahoo ha subito gravi danni e la sua imminente acquisizione da parte di Verizon nel 2017 è stata svalutata di 350 milioni di dollari come conseguenza diretta. Le critiche si sono concentrate sul ritardo di Yahoo nella divulgazione pubblica e sulle pratiche di sicurezza obsolete, in particolare sull'uso di algoritmi di hashing delle password deboli e sulla mancata e corretta crittografia dei dati di sicurezza critici.

Metodi di prevenzione:

• Utilizzare standard di crittografia più forti come bcrypt per le password e le informazioni sensibili
• Stabilire protocolli di notifica rapida delle violazioni
• Impiegare l'autenticazione a più fattori (ad esempio le passkey) per mitigare l'impatto del furto di credenziali

3.2 Violazione di National Public Data (NPD) (2024)#

A marzo 2024, National Public Data (NPD), un importante data broker, ha subito una delle più grandi violazioni nella storia degli Stati Uniti, esponendo informazioni sensibili di circa 1,3 miliardi di individui. Un database configurato in modo errato ha consentito l'accesso non autorizzato a record personali altamente dettagliati, inclusi nomi completi, indirizzi fisici, date di nascita, numeri di previdenza sociale, numeri di telefono e indirizzi e-mail. La violazione ha portato alla compromissione di quasi 2,9 miliardi di record di dati in totale.

I dati esposti hanno comportato gravi rischi di furto d'identità e frodi, portando al collasso delle operazioni di NPD in pochi mesi. Le indagini hanno rivelato che all'azienda mancavano misure di sicurezza fondamentali come adeguati controlli di accesso ai database e valutazioni regolari delle vulnerabilità. L'evento ha riacceso il dibattito pubblico sulla regolamentazione e la supervisione dei data broker che gestiscono enormi volumi di informazioni personali senza sufficienti obblighi di sicurezza.

Metodi di prevenzione:

• Implementare controlli di accesso rigorosi e meccanismi di autenticazione per i database sensibili
• Verificare e testare regolarmente i sistemi per rilevare vulnerabilità e configurazioni errate
• Crittografare le informazioni personali a riposo e in transito per minimizzare il rischio di esposizione

3.3 Violazione dei dati di Real Estate Wealth Network (2023)#

A settembre 2023, la Real Estate Wealth Network (REWN), un aggregatore di dati immobiliari, ha subito una massiccia violazione a causa di un database non protetto e lasciato esposto a Internet senza autenticazione. È stato effettuato l'accesso a circa 1,5 miliardi di record di dati, inclusi nomi, indirizzi di casa, registri di proprietà, numeri di telefono e dettagli sensibili relativi agli immobili, coinvolgendo figure pubbliche note e celebrità.

La violazione ha attirato una significativa attenzione mediatica a causa dell'esposizione dei possedimenti immobiliari di individui di alto profilo, sollevando preoccupazioni per la sicurezza personale e gli attacchi mirati. Gli esperti hanno criticato REWN per non aver implementato i protocolli di base per la sicurezza informatica, come l'autenticazione del database, la crittografia e la registrazione degli accessi.

Metodi di prevenzione:

• Richiedere l'autenticazione per tutti i database, anche quelli contenenti dati di origine pubblica
• Eseguire regolarmente penetration test e verifiche di sicurezza
• Monitorare continuamente gli asset esposti per rilevare in anticipo configurazioni errate

3.4 Violazione dei dati di Facebook (2019/2021)#

Nel 2019, dei criminali informatici hanno sfruttato la funzionalità di importazione dei contatti di Facebook per raccogliere informazioni personali di circa 533 milioni di utenti in 106 paesi tramite scraping. Sebbene Facebook avesse inizialmente limitato lo scraping di massa dei dati più avanti in quell'anno, il set di dati compilato è riemerso pubblicamente ad aprile 2021, quando è stato pubblicato su un forum di hacking per il libero accesso.

A differenza di una violazione tradizionale in cui gli aggressori accedono direttamente ai sistemi interni, questo incidente ha coinvolto una raccolta di dati massiva e automatizzata utilizzando le funzionalità disponibili della piattaforma. Il set di dati trapelato includeva nomi, numeri di telefono, indirizzi e-mail e informazioni sulla posizione, creando gravi rischi di phishing, attacchi di SIM swapping e altre forme di sfruttamento dell'identità. Facebook ha affrontato aspre critiche per aver sottovalutato le implicazioni dei dati acquisiti tramite scraping e per la sua lenta risposta alla divulgazione.

Metodi di prevenzione:

• Limitare l'esposizione dei dati attraverso controlli di accesso più rigorosi per API e funzionalità
• Monitorare per rilevare comportamenti insoliti di scraping utilizzando strumenti di rilevamento automatizzati
• Informare in modo proattivo utenti ed enti regolatori quando si verifica uno scraping di dati su vasta scala

3.5 Violazione dei dati di LinkedIn (2021)#

A giugno 2021, LinkedIn ha subito un importante incidente di scraping dei dati, esponendo le informazioni di circa 700 milioni di utenti (approssimativamente il 92% della sua base di utenti in quel momento). Gli aggressori hanno sfruttato l'API di LinkedIn per raccogliere sistematicamente le informazioni dei profili pubblici, inclusi nomi, e-mail, numeri di telefono, dati di geolocalizzazione e storie professionali. Il set di dati acquisito è stato successivamente messo in vendita su un forum del dark web.

Mentre LinkedIn ha affermato che nessun dato privato era stato violato e che le informazioni erano visualizzabili pubblicamente, gli esperti di sicurezza informatica hanno sottolineato che il volume e l'aggregazione dei dati comportavano comunque rischi significativi di phishing mirato, ingegneria sociale e furto d'identità. L'incidente ha evidenziato il confine labile tra lo scraping di dati "pubblici" e gravi violazioni della privacy quando aggregati su vasta scala.

Metodi di prevenzione:

• Implementare restrizioni di frequenza (rate limiting) e protezioni CAPTCHA sulle API per scoraggiare lo scraping automatizzato
• Migliorare i sistemi di rilevamento delle anomalie per identificare la raccolta di dati su vasta scala
• Istruire gli utenti a limitare le informazioni visibili pubblicamente sui propri profili

3.6 Violazione dei dati di Exactis (2018)#

A giugno 2018, Exactis, un'azienda statunitense di aggregazione dati e marketing, ha inavvertitamente esposto un database contenente circa 340 milioni di record individuali e aziendali. La violazione è stata scoperta da un ricercatore di sicurezza che ha trovato il database accessibile online senza alcuna protezione tramite password. I dati esposti includevano nomi, indirizzi di casa, numeri di telefono, indirizzi e-mail e attributi personali altamente dettagliati come interessi, abitudini e informazioni finanziarie.

Nonostante non ci fosse la conferma che attori malintenzionati avessero avuto accesso ai dati prima che fossero messi in sicurezza, l'ampiezza e la granularità delle informazioni trapelate ponevano alti rischi per il furto d'identità, il phishing e altri attacchi mirati. L'incidente ha attirato l'attenzione sulle pratiche in gran parte non regolamentate dei data broker e ha alimentato le richieste di una legislazione più rigorosa sulla privacy dei dati negli Stati Uniti.

Metodi di prevenzione:

• Richiedere sempre l'autenticazione per l'accesso ai database
• Limitare la quantità di informazioni personali sensibili raccolte e archiviate
• Condurre audit regolari e revisioni di sicurezza per assicurare che siano in atto adeguate misure di protezione dei dati

3.7 Violazione dei dati di First American Financial Corporation (2019)#

A maggio 2019, First American Financial Corporation, uno dei maggiori fornitori di assicurazioni sul titolo (insurance) e servizi di liquidazione negli Stati Uniti, ha esposto circa 885 milioni di record sensibili tramite una vulnerabilità del sito web. A causa di un controllo degli accessi improprio, chiunque avesse un link URL valido a un documento poteva visualizzare altri documenti non correlati semplicemente modificando le cifre nell'URL, senza autenticazione.

I documenti trapelati includevano informazioni finanziarie e personali critiche, come numeri di previdenza sociale, dettagli del conto bancario, registri di mutui e documenti fiscali, mettendo i clienti a forte rischio di frode e furto di identità. La violazione è stata particolarmente allarmante data la natura altamente sensibile dei registri delle transazioni immobiliari e ha sottolineato gravi lacune nelle pratiche di sicurezza delle applicazioni web in tutto il settore finanziario.

Metodi di prevenzione:

• Implementare robusti controlli di accesso e verifiche di autenticazione per gli archivi di documenti
• Condurre approfonditi test di sicurezza (es. penetration test) prima di distribuire pubblicamente le applicazioni
• Monitorare e controllare i modelli di accesso alle applicazioni per rilevare precocemente comportamenti anomali

3.8 Violazione dei dati di Ticketmaster (2024)#

A maggio 2024, Ticketmaster, una delle più grandi società di biglietteria al mondo, ha subito una massiccia violazione dei dati che ha interessato circa 560 milioni di clienti a livello globale, con una percentuale significativa basata negli Stati Uniti. È stato segnalato che gli aggressori avrebbero ottenuto un accesso non autorizzato tramite un ambiente di cloud storage di terze parti compromesso, esponendo i nomi dei clienti, gli indirizzi di casa ed e-mail, i numeri di telefono e, in alcuni casi, dettagli parziali delle carte di pagamento.

La violazione ha riacceso le preoccupazioni in merito ai rischi dei fornitori di terze parti e alla sicurezza cloud, in particolare per le piattaforme consumer su larga scala che gestiscono transazioni finanziarie. Ha inoltre sollevato interrogativi sulla conformità dell'azienda ai moderni standard di protezione dei dati come PCI DSS e GDPR. A seguito dell'incidente, Ticketmaster ha affrontato numerose class action e indagini normative.

Metodi di prevenzione:

• Rafforzare la gestione del rischio dei fornitori e controllare regolarmente i provider di terze parti
• Crittografare tutte le informazioni archiviate dei clienti, specialmente i dati relativi al pagamento
• Implementare modelli di accesso zero-trust per gli ambienti cloud al fine di limitare la superficie di attacco

3.9 Violazione dei dati di MySpace (2016)#

A maggio 2016, un hacker noto come "Peace" ha messo in vendita un'ampia quantità di dati degli utenti di MySpace sul dark web, comprendente circa 427 milioni di account. Sebbene i dati sembrassero provenire da una violazione avvenuta nel 2013 o prima, questa non è stata scoperta per anni. I record esposti includevano nomi utente, indirizzi e-mail e password debolmente protette con un hashing SHA-1 senza salt, il che le rendeva altamente vulnerabili al cracking.

Sebbene MySpace fosse già in declino di popolarità nel momento in cui la violazione è emersa, l'incidente poneva comunque dei rischi perché molti utenti riciclavano le password su più piattaforme. Di conseguenza, le credenziali della violazione di MySpace potevano essere impiegate per attacchi di credential stuffing su altri servizi. L'evento ha evidenziato l'esigenza critica di pratiche di hashing delle password efficaci e del tempestivo rilevamento delle violazioni.

Metodi di prevenzione:

• Utilizzare algoritmi moderni e sicuri di hashing per le password, come bcrypt o Argon2
• Ruotare regolarmente le pratiche crittografiche e abbandonare gli algoritmi obsoleti
• Monitorare le perdite di credenziali e avvisare gli utenti di reimpostare tempestivamente le password in seguito alle violazioni

3.10 Violazione dei dati di JPMorgan Chase (2014)#

Nel 2014, JPMorgan Chase ha rivelato una delle violazioni più significative che abbia mai colpito il settore finanziario statunitense, interessando circa 76 milioni di famiglie e 7 milioni di piccole imprese. Gli aggressori hanno ottenuto l'accesso tramite un account di un dipendente compromesso, sfruttando le debolezze nell'infrastruttura di rete della banca. Sebbene non siano state rubate informazioni finanziarie quali numeri di conto, password o numeri di previdenza sociale, gli aggressori hanno ottenuto nomi, indirizzi, indirizzi e-mail e numeri di telefono.

La violazione ha suscitato grande attenzione a causa del ruolo critico della banca nell'economia statunitense e ha scatenato allarmi nell'intero settore dei servizi finanziari per quanto riguarda il livello di preparazione nella sicurezza informatica. Ha portato a un maggiore controllo normativo e ha spinto molte istituzioni finanziarie a rivalutare i propri framework di sicurezza informatica, in particolare riguardo alle protezioni degli account dei dipendenti e alla segmentazione della rete.

Metodi di prevenzione:

• Applicare l'autenticazione a più fattori (MFA) per tutti gli account interni ed esterni
• Implementare una solida segmentazione della rete per limitare il movimento laterale in caso di compromissione
• Testare e aggiornare regolarmente i protocolli di sicurezza per la gestione degli accessi dei dipendenti

4. Tendenze nelle violazioni dei dati negli Stati Uniti#

Osservando le più grandi violazioni dei dati avvenute negli Stati Uniti fino al 2025, notiamo alcune costanti che si ripresentano in questi attacchi:

4.1 Le configurazioni errate di base sono problematiche quanto i sofisticati attacchi informatici#

Un filo conduttore in molte delle più grandi violazioni di dati è che non sono state il risultato di attacchi altamente sofisticati, bensì di configurazioni errate di base e vulnerabilità trascurate. Database aperti senza protezione da password, controlli degli accessi deboli e API protette in modo inadeguato hanno ripetutamente offerto agli aggressori una facile via d'accesso. In casi come le violazioni di National Public Data e Real Estate Wealth Network, è bastato analizzare Internet alla ricerca di sistemi non protetti per avere accesso a miliardi di record. Ciò evidenzia che investire nell'igiene di base della sicurezza informatica, come i controlli degli accessi, una crittografia adeguata e l'irrobustimento dei sistemi, avrebbe prevenuto molti di questi incidenti.

4.2 Le informazioni personali sono il bersaglio principale#

Un'altra tendenza degna di nota è il costante prendere di mira l'esposizione di informazioni personali sensibili. In quasi tutte le violazioni, i set di dati includevano nomi, indirizzi, date di nascita, indirizzi e-mail, numeri di telefono e, nei casi più dannosi, i numeri di previdenza sociale. L'ampiezza dei dettagli personali esposti accresce drasticamente il rischio di furto d'identità, attacchi di phishing e frodi finanziarie. Ad esempio, implementare rigide policy per le password e controlli di accesso è cruciale per la prevenzione delle frodi nel non profit. Le organizzazioni, persino quelle al di fuori dei settori regolamentati come finanza o sanità, devono trattare qualsiasi raccolta di dati personali con i più alti standard di sicurezza, poiché il suo valore per gli aggressori rimane costantemente elevato.

4.3 Protezione debole delle password e crittografia#

Le scarse pratiche di gestione delle password e le protezioni crittografiche obsolete hanno ulteriormente aggravato le conseguenze di diverse violazioni. In incidenti come quelli di Yahoo e MySpace, le password erano archiviate utilizzando algoritmi di hashing deboli come MD5 e SHA-1 o non erano sufficientemente "salate", il che le ha rese facilmente decifrabili una volta rubate. Ciò ha ampliato significativamente l'impatto consentendo agli aggressori di riutilizzare le password su altri servizi tramite il credential stuffing. Anche quando le password vengono rubate, metodi di crittografia solidi e moderni standard crittografici possono limitare enormemente il rischio a valle per gli utenti e le aziende.

4.4 Sfruttamento delle API e scraping di dati di massa#

Un'evoluzione importante nelle tattiche di violazione è la crescente dipendenza dallo sfruttamento delle API e dallo scraping dei dati invece che dalle tecniche di hacking tradizionali. Violazioni come quelle di LinkedIn e Facebook hanno dimostrato che gli aggressori approfittano sempre più di API non adeguatamente protette o di funzionalità rivolte al pubblico per raccogliere grandi volumi di dati degli utenti. Mentre le aziende spesso sminuiscono lo scraping sottolineando la natura pubblica dei dati, l'aggregazione e la combinazione delle informazioni acquisite in questo modo possono creare database potenti e pericolosi. Questa tendenza enfatizza la necessità per le organizzazioni di applicare rigidi limiti di frequenza, controlli e autenticazione su tutte le API e le interfacce pubbliche, trattandole con lo stesso rigore riservato ai sistemi di back-end.

5. Conclusione#

Le più grandi violazioni di dati nella storia degli Stati Uniti rivelano uno schema chiaro e coerente: la maggior parte degli incidenti era prevenibile. Invece di essere il risultato di attacchi informatici altamente avanzati, molte violazioni sono derivate da errori di base: database non protetti, standard crittografici obsoleti, protezioni delle API insufficienti e sottovalutazione del valore delle informazioni personali. Queste falle hanno consentito agli aggressori di accedere a enormi volumi di dati sensibili con relativa facilità, esponendo gli individui a rischi quali furti di identità, frodi finanziarie e attacchi mirati.

Per organizzazioni di tutte le dimensioni e settori, l'insegnamento che i fondamenti della sicurezza informatica non possono essere trascurati è chiaro. La protezione dei dati personali richiede non solo forti misure tecniche, ma anche un approccio proattivo nella configurazione dei sistemi, negli standard crittografici, nella gestione del rischio dei fornitori e nel rilevamento delle violazioni. Poiché la quantità di dati raccolti cresce in maniera esponenziale, cresce anche la responsabilità di proteggerli.

Chi siamo

Corbado è la Passkey Intelligence Platform per i team CIAM che gestiscono l'autenticazione consumer su larga scala. Ti aiutiamo a vedere ciò che i log IDP e gli strumenti di analytics generici non mostrano: quali dispositivi, versioni di OS, browser e gestori di credenziali supportano i passkey, perché gli enrollment non si trasformano in login, dove il flusso WebAuthn fallisce e quando un aggiornamento di OS o browser interrompe silenziosamente il login — tutto senza sostituire Okta, Auth0, Ping, Cognito o il tuo IDP interno. Due prodotti: Corbado Observe aggiunge osservabilità per i passkey e qualsiasi altro metodo di login. Corbado Connect introduce passkey gestiti con analytics integrato (insieme al tuo IDP). VicRoads gestisce i passkey per oltre 5M di utenti con Corbado (+80 % di attivazione passkey). Parla con un esperto di Passkey →

Domande frequenti#

Perché le pratiche di sicurezza di Yahoo sono state considerate inadeguate durante la violazione dei dati del 2013-2016?#

Yahoo memorizzava le password utilizzando MD5, un algoritmo crittograficamente debole, e manteneva le domande e risposte di sicurezza completamente in chiaro. La violazione è stata collegata ad attori sponsorizzati dallo stato, ritenuti operativi russi. Yahoo ha affrontato aspre critiche per il ritardo nella divulgazione pubblica, rivelando l'intera portata solo nel 2016 nonostante le violazioni si fossero verificate anni prima.

Come ha fatto la violazione di National Public Data a esporre miliardi di record senza un attacco informatico sofisticato?#

Un database configurato in modo errato presso National Public Data ha consentito l'accesso non autorizzato senza alcuna autenticazione a marzo 2024. All'azienda mancavano le misure di sicurezza fondamentali, inclusi controlli di accesso al database adeguati e valutazioni regolari delle vulnerabilità. La violazione ha portato alla compromissione di quasi 2,9 miliardi di record di dati e ha causato direttamente il collasso operativo di NPD nel giro di pochi mesi.

Perché lo scraping delle API è considerato un grave rischio di violazione dei dati anche quando i dati raschiati sono tecnicamente pubblici?#

Gli aggressori sfruttano API scarsamente protette per raccogliere dati su vasta scala, come dimostrato dalla violazione di LinkedIn (700 milioni di utenti, circa il 92% della sua base di utenti) e dalla violazione di Facebook (533 milioni di utenti). L'aggregazione di singoli punti di dati pubblici crea profili personali dettagliati, consentendo attacchi di phishing, SIM swapping e furto d'identità su vasta scala.

Quali fallimenti nell'hashing delle password hanno aggravato l'impatto a valle delle violazioni di Yahoo e MySpace?#

Yahoo ha utilizzato l'hashing MD5 e MySpace ha utilizzato SHA-1 senza salt, entrambi standard crittograficamente deboli. Questi metodi hanno reso le credenziali rubate facilmente decifrabili, consentendo agli aggressori di condurre attacchi di credential stuffing su altre piattaforme in cui gli utenti riciclavano le password. Algoritmi moderni come bcrypt o Argon2 ridurrebbero significativamente questo rischio a valle.

In che modo il frammentato panorama normativo statunitense aumenta la vulnerabilità delle organizzazioni alle violazioni dei dati?#

Il mosaico di normative statunitensi a livello statale e di settore crea standard di sicurezza informatica incoerenti, lasciando lacune nella protezione dei dati e nell'applicazione. Rispetto a paesi con normative rigorose e uniformi, questo approccio abbassa le barriere per i criminali informatici nell'identificare e sfruttare le vulnerabilità. Broker di dati come NPD ed Exactis operavano con obblighi di sicurezza minimi pur conservando miliardi di record personali sensibili.