Il Texas Parks and Wildlife Department (TPWD) ha confermato il 18 giugno una data breach che ha esposto i dati personali di 3.087.721 clienti del suo sistema di licenze di caccia e pesca. L'intrusione è avvenuta attraverso un vendor terzo che gestisce la piattaforma, ma il dipartimento non ha rivelato l'identità del fornitore.
- 3.087.721 individui interessati: clienti con licenze attive di caccia o pesca in Texas
- Dati esposti: numero di patente di guida, passaporto (se fornito), indirizzi residenziali, email e numeri di telefono
- SSN, date di nascita e dati di pagamento (carte di credito) non sono risultati compromessi, secondo la dichiarazione TPWD
- Il vendor del sistema di licenze non è stato identificato pubblicamente dal dipartimento
- Un anno di monitoraggio credito gratuito offerto agli interessati
"There is no evidence that customers under the age of 18 were involved or that any specific group was targeted" — TPWD
Cosa è successo
Il Texas Cyber Command ha scoperto l'intrusione e avviato un'indagine, secondo quanto riportato da BleepingComputer e Inc. Il dipartimento ha dichiarato di aver preso "immediate steps" per rafforzare i controlli di accesso ai dati dei profili cliente.
Con il vendor, TPWD sta implementando "new safeguards and enhanced monitoring services". La fonte non specifica il vettore tecnico dell'attacco, né la data esatta in cui l'intrusione è iniziata o la sua durata. Non emerge nemmeno se i dati siano stati effettivamente esfiltrati o solo resi accessibili.
TechCrunch, prima testata a riportare la notizia il 18 giugno, ha citato la notifica apparsa sul sito TPWD e ha menzionato il coinvolgimento del Texas Attorney General, senza tuttavia ottenere risposta a una richiesta di commento da parte del dipartimento.
I dati esposti: rischio di impersonation e phishing mirato
Il profilo dei dati compromessi presenta una combinazione insidiosa. Patente di guida, indirizzo, email e numero di telefono costituiscono un set PII di "mid-sensitività": non abilitano frodi finanziarie dirette, ma forniscono materiale autentico per campagne di social engineering.
Il numero di patente è un identificatore governativo verificabile che aumenta la credibilità di messaggi fraudolenti mirati. L'inclusione dei numeri di passaporto, anche se condizionata al "se fornito" nelle comunicazioni TPWD, aggiunge un elemento di criticità per i titolari che avevano caricato il documento.
La conferma dell'assenza di SSN e dati finanziari limita lo spettro delle conseguenze immediate, ma non annulla il rischio. I criminali informatici possono incrociare questo dataset con leak precedenti per arricchire profili vittima.
Cosa fare adesso
Gli interessati ricevono un anno di monitoraggio credito gratuito dal TPWD. Chi ha fornito il passaporto nel sistema licenze dovrebbe verificare se il documento sia ancora valido e valutare una segnalazione alle autorità competenti in caso di uso sospetto.
È opportuno attivare alert sui propri account email e telefonici per riconoscere tentativi di phishing che citino dati della patente come "prova di autenticità" del mittente. I messaggi che richiedano aggiornamenti al profilo TPWD o verifiche identitarie tramite link meritano scrutinio particolare.
Il monitoraggio credito offerto rileva aperture di linee finanziarie, non usi fraudolenti della patente per autenticazione alternativa. Gli interessati dovrebbero considerare questo gap e prestare attenzione a servizi che usano la patente come documento di verifica.
Perché è importante
Questo caso è significativo per un deficit di governance, non solo per la dimensione numerica. Il vendor che gestisce il sistema di licenze rimane anonimo, e con esso scompare la visibilità sulla catena di responsabilità sulla sicurezza della piattaforma.
Gli individui interessati non possono valutare le pratiche del fornitore, né verificare se lo stesso vendor serva altri enti governativi. Il dossier non specifica se il contratto tra TPWD e il vendor prevedesse clausole di audit di sicurezza o obblighi di notifica tempestiva.
Il contrasto con settori regolamentati come quello finanziario o healthcare, dove la notifica del partner tecnologico è spesso obbligatoria per legge, evidenzia un ritardo normativo. La fonte non indica se il Texas stia valutando modifiche regolatorie in seguito all'incidente.
Cosa non sappiamo e i limiti del dossier
L'identità del vendor, la data dell'intrusione, il vettore di attacco, l'eventuale esfiltrazione dei dati e il coinvolgimento di attori di minaccia specifici restano non documentati dalla fonte. Non emerge nemmeno se il breach abbia triggered obblighi di notifica federali oltre alla disclosure locale del TPWD.
Il meccanismo di "enhanced monitoring services" citato dal dipartimento non è tecnicamente dettagliato: la fonte non specifica se si tratti di logging esteso, detection rules, o altre misure. Analogamente, "strengthen access controls" rimane una formula generica priva di indicazione su quali controlli fossero precedentemente in vigore.
La dichiarazione TPWD citata da Inc. — "We recognize the seriousness of this issue... Immediate steps were taken to strengthen access controls for customer profile data, and additional security features will be added in the future" — non elenca misure concrete né timeline di implementazione.
Le informazioni sono basate sulle fonti citate e aggiornate al momento della pubblicazione.
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.
Fonti
- https://www.bleepingcomputer.com/news/security/texas-govt-data-breach-exposes-over-3-million-drivers-licenses/
- https://www.inc.com/kevin-haynes/3-million-texans-hit-by-cyberattack-tied-to-hunting-fishing-licenses/91363461
- https://techcrunch.com/2026/06/18/texas-government-data-breach-allowed-hackers-to-steal-3-million-drivers-licenses-and-passports/
- https://nvd.nist.gov/vuln/detail/CVE-2025-53770
- https://nvd.nist.gov/vuln
- https://nvd.nist.gov/vuln/search
- https://nvd.nist.gov/vuln/categories
- https://nvd.nist.gov/vuln/data-feeds
- https://nvd.nist.gov/vuln/vendor-comments