Si complica la vicenda Equifax. La scorsa settimana l’agenzia di controllo dei crediti statunitensi ha ammesso di aver subito un gigantesco attacco informatico, che fra maggio e luglio ha portato gli hacker a ottenere dati sensibili di ben 143 milioni di cittadini. Un’incursione che ha fruttato ai pirati informazioni come date di nascita, numeri di patente di guida e di carta di credito e social security number. E ora i cybercriminali vogliono passare all’incasso. Secondo quanto sta circolando sul Web in queste ore, infatti, gli hacker avrebbero dato a Equifax tempo fino al 15 settembre per versare 600 bitcoin e ottenere così in cambio la cancellazione dei dati. Si tratta di circa 2,7 milioni di dollari di riscatto. Nel caso in cui l’agenzia non rispettasse la deadline, quasi tutte le informazioni verrebbero messe alla mercé del Web. Sembra che i responsabili dell’attacco, non ancora identificati, non abbiano intenzione di rendere noti i numeri di carta di credito.
In un primo momento potrebbe sembrare un atto magnanimo, ma non è così, perché gli hacker potrebbero sfruttare in altro modo questi dati preziosi, rivendendoli magari sul dark Web. “Siamo due persone che stanno cercando di sistemare la propria vita e quella delle nostre famiglie”, hanno scritto i presunti cybercriminali. “Non credevamo di ottenere così tante informazioni, né volevamo colpire così tanti cittadini. Ma abbiamo assoluto bisogno di monetizzare quanto fatto il prima possibile”.
Considerati la delicatezza della questione e il desiderio di gloria di molti utenti del Web, è difficile stabilire se la minaccia sia concreta oppure se si tratti soltanto di uno scherzo. È comunque certo che le informazioni filtrate in seguito all’attacco siano in pericolo. E il comportamento di alcuni manager dell’agenzia non sta facilitando le cose. Si è infatti scoperto che tre dirigenti (compreso il Cfo), non appena venuti a conoscenza internamente della violazione, hanno venduto migliaia di azioni di Equifax per circa tre milioni di dollari di valore.
Questo ben prima che l’opinione pubblica venisse a sapere del trafugamento di dati. Un’operazione che non è sfuggita ai pirati: non è un caso che nel documento circolato in Rete la coppia di hacker citi proprio la vendita delle azioni come base di calcolo per ammontare il valore del riscatto. “Gli executive di Equifax hanno venduto azioni per tre milioni di dollari, traendo vantaggio dalle proprie informazioni dopo l’attacco. Crediamo quindi che 600 bitcoin rappresentino una somma giusta”. Gli occhi dei cittadini statunitensi sono ora puntati al 15 settembre.