Data breach, rubati 28mila documenti di associati Siae

Un nuovo grande cyberattacco con furto di dati fa discutere le cronache: la vittima è Siae, la Società Italiana degli Autori ed Editori. Un hackeraggio, poi rivendicato dal gruppo noto come Everest, ha permesso di sottrarre all’associazione circa 60 gigabyte di dati, corrispondenti a circa 28mila documenti contenenti dati personali sottratti da carte d’identità, patenti, tessere sanitarie e moduli di adesione a Siae compilati negli anni 2019 e 2020. Dunque l’esfiltrazione ha riguardato dati anagrafici e di contatto (email, numeri di telefono) ma anche Iban bancari.

Tali dati sono già stati messi in vendita sul Dark Web, riporta Ansa, e la stessa Siae con un comunicato stampa ha fatto sapere che “un gruppo criminale ha effettuato la copia di taluni file presenti nel sistema documentale della Società, prevalentemente file pdf”.

Come è successo? Il data breach è stato reso possibile da un “accesso fraudolento” al sistema documentale di Siae, a sua volta risultato di un’attività di phishing che nelle settimane precedenti aveva permesso ai cybercriminali di ottenere le credenziali necessarie per entrare. L’associazione è intervenuta prontamente, non appena avuta notizia dell’accesso fraudolento, bloccando l’utenza interessata.

Nel frattempo, però, gli autori del misfatto hanno avuto il tempo di copiare i documenti di loro interesse, circa 60 gigabyte, per poi chiedere un riscatto di 3 milioni di euro (da pagarsi in bitcoin) in cambio della promessa di non pubblicare online i dati sottratti. "La Siae non darà seguito alla richiesta di riscatto", ha dichiarato ad Ansa il direttore generale dell’ente, Gaetano Blandini. “Abbiamo già provveduto a fare la denuncia alla polizia postale e al garante della privacy come da prassi”.

Attraverso la sezione di Roma del  Cnaipic (Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche), la Polizia postale sta indagando sul caso. A Siae spetta ora l’onere, e l’obbligo, di dare notifica alle persone coinvolte. “Tutti gli interessati”, si legge in un comunicato stampa, “riceveranno puntuale informazione sugli specifici dati che li riguardano non appena Siae avrà terminato l’analisi del contenuto di tutti i singoli file, fornendo puntuale indicazione dei dati illecitamente carpiti che li riguardino”.

Alternativa agli attacchi cosiddetti brute force, in cui si tenta di ottenere accesso tentando innumerevoli combinazioni di username e password fino a trovare quella giusta, le violazioni originate dal phishing intercettano le debolezze, la disattenzione o la mancanza di consapevolezza degli utenti. “Si tratta del modo classico di operare dei cybercriminali, che entrano nei sistemi aziendali tramite email di phishing, volte a superare le difese di sicurezza”, ha commentato Luca Maiocchi, country manager di Proofpoint Italia. “È un fenomeno in costante ascesa, tanto che il nostro report Cost of Phishing, condotto insieme a Ponemon, ha registrato un aumento di quattro volte dei costi legati a questi attacchi negli ultimi sei anni”. 

In media, secondo questa analisi, il phishing nel 2020 ha provocato un danno pro capite di  14,8 milioni di dollari nelle grandi aziende, mentre cinque anni fa tale cifra si limitava a 3,8 milioni di dollari. Nel corso del 2020 più del 75% delle organizzazioni ha affrontato attacchi di phishing su larga scala, considerando sia quelli andati a buon fine sia quelli bloccati. Il 66% è stata colpita da infezioni ransomware.