E’ il furto di dati, in gergo tecnico breach, più chiacchierato del momento, per lo meno in Italia.
Nelle scorse ore sono stati messi online una serie di dati relativi a SIAE, notificando che SIAE fosse stata aggetto di un attacco, pubblicando una serie di dati sensibili di autori o compositori iscritti alla SIAE a testimonianza dell’avvenuto breach. Si tratta di un estratto di un paio di giga contenete dettagli relativi a registrazioni di nuove opere, corredati da dati sensibili quali indirizzi email, domicilio, numero di cellulare e documenti di identità degli autori oltre che a indiscrezioni fiscali tra cui l’IBAN.
SIAE, dopo un lungo silenzio, ha ammesso il breach pur dichiarando cose imprecise che lasciano più di qualche dubbio.
Il tipo di attacco subìto, classificato come ransomware in realtà non lo è del tutto. Everest, il gruppo hacker che che si è auto attribuita la paternità l’attacco, nei suoi precedenti noti di attacchi ha usato dei cryptolocker per criptare i dati in possesso della vittima. In questo caso sembrerebbe che i dati non siano stati criptati, pertanto sono rimasti a piena disposizione della SIAE, si tratterebbe dunque di semplice exfiltration, ovvero sono stati trafugati ma senza limitarne l’uso al proprietario.
Matteo Flora nella sua rubrica “ciao internet! lo definisce come ransomware atipico, visto che ciò che fa più paura alle vittime di furto di dati è la loro diffusione, mentre il blocco dell’attività potrebbe durare solo qualche giorno. L’assenza del cryptolocker lo rende un ransomware particolare sebbene la richiesta di riscatto ci sia stata non si è verificata l’interruzione dei servizi offerti da SIAE.
Fanno molto riflettere, fa osservare ancora Mattero Fora, le dichiarazioni del Direttore Generale di SIAE Gaetano Blandini, che intervistato dal TG1 dice “per fortuna non sembrerebbe esserci dati economici relativi ad IBAN bancari, solo dati anagrafici, come carte d’identità, codici fiscali, e dati di molti nostri dipendenti“. Questo fa riflettere per due motivi: il tentativo di sminuire l’entità del danno subito dicendo che avrebbero sottratto solo i dati anagrafici, che di per se fa ridere, in virtù del fatto che i dati anagrafici non sono modificabili (come potrebbe esserlo una password) e la dichiarazione stessa del fatto che non fossero stati trafugati gli IBAN, risultata palesemente falsa a fronte del sample pubblicato dal gruppo hacker. Pertanto risulta abbastanza strano che il DG rilasci dichiarazioni mendaci sull’entità del danno subito.
Un altro aspetto strano da aggiungere a questa triste vicenda è che il gruppo hacker stesso ha dichiarato il rifiuto da parte di SIAE di pagare il “riscatto” per evitare la diffusione dei dati trafugati ed hanno di conseguenza deciso di vendere l’intero dataset dei dati trafugati alla cifra di 500 mila dollari.
Pare che nelle settimane precedenti all’attacco di exfiltration, SIAE era già stata vittima di attacchi di tipo phishing. Da quanto gli stessi attaccanti hanno dichiarato alla rivista Red Hot Cyber sembrerebbe che:
[…] la sicurezza dell’infrastruttura della SIAE disastrosa (da 1 a 10, da loro valutata 1) e che NON sono stati cifrati i dati in quanto si è trattato di un attacco informatico classico con successiva data-exfiltration e richiesta di riscatto: “Non uso ransomware da molto tempo. Mi piace specializzarmi di più in documenti”.
Vi invito a leggere l’intervista integrale al seguente link: https://www.redhotcyber.com/post/siae-rhc-intervista-gli-operatori-di-everest-non-%C3%A8-stato-un-ransomware
Everest quindi sbeffeggia il livello di sicurezza dell’infrastruttura di SIAE chiedendosi, come forse dovremmo fare un po’ tutti, se i dati fossero archiviati e protetti in maniera efficace vista la facilità con cui gli autori, secondo quanto da loro stessi affermato, sono stati in grado di sferrare l’attacco.
[Aggiornamento del 24 ottobre 2021]
Pare che diversi artisti, vittima del furto di dati personali perpetrato ai danni di SIAE siano stati contattati individualmente con una richiesta di riscatto al fine di evitare la pubblicazione dei dati stessi.
La richiesta di riscatto pare sia quantificabile in euro 10 mila, ovviamente in valuta bitcoin. E’ stata inoltre fissata anche una deadline per effettuare il pagamento, pare sia già scaduta il 22 ottobre.
Non è noto se tali richieste di riscatto siano collegabili allo stesso gruppo hacker che ha sferrato l’attacco, oppure si tratti di tentativi fraudolenti di estorcere denaro agli artisti. Quel che è certo è che la magistratura ha aperto un’inchiesta per accertare chi si celi dietro tali richieste e le responsabilità dell’accaduto.
[Aggiornamento del 2 novembre 2021]
Il tentativo di vendita dei dati trafugati, la cui richiesta si attestava dopo le prime ore dal furto a l’equivalente di 500 mila dollari in bitcoin è sceso vertiginosamente nei giorni successivi. Quello che tutti cominciano a definire il dataset che non vuole (comprare) nessuno.
L’offerta al ribasso è scesa prima a 300 mila, poi a 150 mila per stabilirsi ad un triste “The database is on sale“, l’equivalente del “trattativa riservata” in attesa di trovare (almeno uno) il miglior offerente.