Vi ricordate il Data Breach alla Siae, la Società italiana degli autori ed editori , avvenuto ad Ottobre?
All’epoca il Dg nelle sue interviste alla televisione sminuiva l’accaduto con “per fortuna non sembrerebbero esserci dati economici, cioè relativi a IBAN bancari o cose di questo genere”
I dati rubati, ora sono online sul Dark web e alla portata di tutti.
Tra i 60 gigabyte di file trafugati, ci sono dati anagrafici, patenti, carte di identità, tessere sanitarie, codici Iban, email, numeri di telefono, dati di carte di credito e informazioni presenti sui moduli di adesione per il 2019 e il 2020, tutti appartenenti agli iscritti Siae, come affermato dalla società nel suo comunicato . Di tutto il materiale – 28mila documenti – è però scaricabile solo una parte, circa 30 Gb, perché alcuni link non funzionano.
Ripercorriamo la vicenda
Il furto è stato rivendicato il 20 ottobre 2021 dall’Everest ransom team, anche se risalirebbe all’inizio del mese. Due giorni dopo il gruppo ha pubblicato sul proprio sito due sample – assaggi – dei dati rubati. Si trattava di due archivi da circa 1 Gb con più duecento documenti, condivisi per spingere all’angolo la Siae e indurla a pagare per riavere l’intero pacchetto e non mettere in pericolo i suoi clienti.
La violazione è stata confermata dalla stessa Siae. La società che si occupa dei diritti di musicisti e scrittori italiani nell’unica comunicazione finora pubblicata sul proprio sito ha fatto sapere di avere rilevato un’intrusione nei propri sistemi. Qualcuno aveva copiato e rubato migliaia di file, la maggior parte in pdf. Non si è trattato però di un attacco ransomware, una modalità che Everest comunque utilizza: i cybercriminali sarebbero riusciti a entrare nei sistemi di Siae con un furto di credenziali tramite un’azione di phishing.
Il ricatto
In seguito alla pubblicazione dei sample, il gruppo ha chiesto inizialmente un pagamento di tre milioni di euro in bitcoin per il dataset, ma Siae ha fatto sapere che non avrebbe accettato alcun riscatto. La richiesta è poi scesa a 500mila euro, ma Everest ha cominciato anche a ricattare singolarmente le persone coinvolte domandando tramite sms 10mila euro in bitcoin per non divulgare pubblicamente i loro dati personali.
Le conseguenze della pubblicazione
La pubblicazione dei dati nel dark web, potrebbe comportare per gli interessati ulteriori guai. I dati trafugati dai cybercriminali, se venduti, potrebbero essere usati da altri malintenzionati per portare a termine frodi ai danni delle persone a cui appartengono o potrebbero essere utilizzati per truffe online.
Quando è avvenuto l’incidente, il DG della SIAE sottovalutò il problema.
Nonostante gli sforzi del Garante Privacy, il furto dei dati personali è ancora visto come un “problema senza risoluzione”. Spesso si sceglie “il male minore”.
Invece è necessario che ogni cittadino sia consapevole dei rischi a cui va incontro. Ogni persona deve imparare a gestire i propri dati personali in sicurezza, pretendendo che anche le aziende facciano lo stesso.
Cosa ne pensate?