Da Wired.it :
I dati rubati ad ottobre a Siae, la Società italiana degli autori ed editori, da un gruppo di criminali informatici chiamato Everest sono ora online e alla portata di tutti. A dare per primo la notizia della pubblicazione, come in precedenza del furto, è stato l’utente Twitter Claudio Sono.
Tra i 60 gigabyte di file trafugati, ci sono dati anagrafici, patenti, carte di identità, tessere sanitarie, codici Iban, email, numeri di telefono, dati di carte di credito e informazioni presenti sui moduli di adesione per il 2019 e il 2020, tutti appartenenti agli iscritti Siae. Di tutto il materiale – 28mila documenti – è però scaricabile solo una parte, circa 30 Gb, perché alcuni link non funzionano.
Twitter content
This content can also be viewed on the site it originates from.
Ancora non si sa con certezza perché chi ha rubato questo set di dati abbia deciso di divulgarlo ora, ma gli esperti sospettano che qualcuno abbia pagato per avere almeno una parte di quei file. Sembra invece da escludere che il pagamento arrivi da Siae, visto la fine che hanno poi fatto i dati, alla mercé di tutti sulla rete.
La vicenda
Il furto è stato rivendicato il 20 ottobre 2021 dall’Everest ransom team, anche se risalirebbe all’inizio del mese. Due giorni dopo il gruppo ha pubblicato sul proprio sito due sample – assaggi – dei dati rubati. Si trattava di due archivi da circa 1 Gb con più duecento documenti, condivisi per spingere all’angolo la Siae e indurla a pagare per riavere l’intero pacchetto e non mettere in pericolo i suoi clienti.
La violazione è stata in seguito confermata dalla stessa Siae. La società che si occupa dei diritti di musicisti e scrittori italiani nell’unica comunicazione finora pubblicata sul proprio sito ha fatto sapere di avere rilevato un’intrusione nei propri sistemi. Qualcuno aveva copiato e rubato migliaia di file, la maggior parte in pdf. Non si è trattato però di un attacco ransomware, una modalità che Everest comunque utilizza: i cybercriminali sarebbero riusciti a entrare nei sistemi di Siae con un furto di credenziali tramite un’azione di phishing.
Il ricatto e la pubblicazione
In seguito alla pubblicazione dei sample, il gruppo ha chiesto inizialmente un pagamento di tre milioni di euro in bitcoin per il dataset, ma Siae ha fatto sapere che non avrebbe accettato alcun riscatto. La richiesta è poi scesa a 500mila euro, ma Everest ha cominciato anche a ricattare singolarmente le persone coinvolte domandando tramite sms 10mila euro in bitcoin per non divulgare pubblicamente i loro dati personali.
Come ha rilevato l’utente Claudio Sono su Twitter, con il passare dei giorni la cifra per i 60 Gb di Siae è scesa gradualmente, prima a 300mila euro e poi a 150mila. A inizio novembre sul sito web di Everest il database era semplicemente “on sale”, mentre alla fine del mese il gruppo chiedeva addirittura una “donazione in beneficenza” in cambio del pacchetto. Per questi motivi è facile pensare che il rilascio dei dati, a due mesi dal furto, sia seguito al pagamento di una cifra molto inferiore alle richieste iniziali.
Con la pubblicazione del data breach di Siae, e aspettando di avere maggiori dettagli, la storia non può però dirsi conclusa, anzi, è probabile che le vere conseguenze si vedranno d’ora in avanti. I dati trafugati dai cybercriminali, se venduti, potrebbero essere usati da altri malintenzionati per portare a termine frodi ai danni delle persone a cui appartengono o potrebbero essere utilizzati per truffe online. “Vista la natura dei dati trafugati, il rifiuto del pagamento del riscatto si traduce in un enorme danno per gli autori di Siae”, aveva detto a Wired Matteo Flora, imprenditore, docente universitario ed esperto di comunicazione di crisi. La vicenda è seguita dalla Polizia postale e il Garante della privacy ha aperto un’istruttoria sull’accaduto.