Il 2025 segna un nuovo capitolo critico nella sicurezza dei dati aziendali. Salesforce, DraftKings e Avnet si trovano al centro di incidenti informatici distinti ma collegati da un filo conduttore comune: l’evoluzione del cybercrime verso modelli di estorsione distribuita e attacchi supply-chain. Le tre aziende hanno reagito con trasparenza e fermezza, rifiutando pagamenti ai gruppi criminali e avviando indagini coordinate con autorità e partner di sicurezza.
Cosa leggere
Salesforce affronta campagne globali di furto dati
Salesforce è stata colpita da due campagne di furto dati che hanno sfruttato meccanismi OAuth compromessi per accedere ai database CRM di aziende clienti. La prima ondata, partita alla fine del 2024, è stata orchestrata attraverso tecniche di social engineering: gli attaccanti si sono finti operatori del supporto IT convincendo i dipendenti a connettere app malevole con autorizzazioni OAuth complete. Queste connessioni fraudolente hanno consentito il download di dati sensibili appartenenti a centinaia di aziende internazionali, tra cui Qantas, Adidas e Allianz. Una seconda campagna, identificata nell’agosto 2025, ha invece sfruttato token OAuth rubati da SalesLoft e Drift per effettuare accessi laterali agli ambienti Salesforce, rubando ticket di supporto, credenziali e token API. Le vittime documentate includono Zscaler, Tenable e Palo Alto Networks, con oltre 1,5 miliardi di record sottratti. Gli attaccanti – una costellazione di gruppi legati a Scattered Lapsus$ e ShinyHunters – hanno pubblicato campioni di dati su siti leak per forzare il pagamento di riscatti. Salesforce ha rifiutato qualsiasi negoziazione, avvertendo i clienti di possibili leak imminenti e segnalando le intrusioni all’FBI e alle autorità europee per la cybersecurity. L’azienda ha implementato misure rafforzate contro l’abuso di OAuth, tra cui verifiche multi-livello sulle app connesse, alert automatici per comportamenti anomali e token rotation forzata. Salesforce ha inoltre confermato la propria compliance con il GDPR, notificando le violazioni nei tempi previsti e invitando le aziende colpite a ruotare le chiavi API.
DraftKings avverte di breach da credential stuffing
In parallelo, la piattaforma di scommesse DraftKings ha notificato ai propri clienti un incidente di credential stuffing, dovuto al riutilizzo di credenziali rubate da fonti esterne. Gli attaccanti hanno condotto attacchi automatizzati su larga scala per testare coppie di username e password, riuscendo a ottenere accesso temporaneo ad account reali. Le informazioni compromesse includono nomi, indirizzi, date di nascita e ultime quattro cifre delle carte di pagamento, ma non i numeri completi né gli ID governativi.
Gli aggressori hanno tentato accessi ai bilanci dei conti e alle cronologie di transazioni, prima che la piattaforma attivasse un blocco di sicurezza automatico. DraftKings ha imposto reset obbligatori delle password e l’attivazione della multi-factor authentication (MFA) per tutti gli account, in particolare su DK Horse. L’azienda ha ricordato agli utenti la necessità di non riutilizzare le stesse credenziali su più siti, sottolineando come il 90% degli attacchi di questo tipo dipenda proprio dalla mancanza di igiene digitale. Questo attacco segue un episodio analogo del 2022, in cui erano stati sottratti circa 275.000 euro. Le nuove campagne confermano una ripresa globale del credential stuffing, segnalata anche dall’FBI, con gruppi che utilizzano bot automatizzati e reti proxy per aggirare i sistemi di rilevamento.
Avnet conferma breach su database EMEA
Anche Avnet, multinazionale dei semiconduttori e della distribuzione elettronica, ha confermato un accesso non autorizzato a un database su cloud esterno utilizzato per attività di vendita nell’area EMEA. Gli attaccanti hanno esfiltrato circa 1,3 terabyte di dati compressi, comprendenti record storici, contatti commerciali e opportunità di vendita. Secondo Avnet, i file rubati sarebbero illeggibili senza strumenti proprietari, e dunque non contengono dati personali in chiaro soggetti a regolamentazione GDPR. L’azienda ha immediatamente ruotato le chiavi Azure, sospeso le connessioni interessate e informato autorità e clienti. Gli aggressori, appartenenti a un gruppo finanziariamente motivato, hanno pubblicato campioni dei dati rubati su portali di estorsione per ottenere un riscatto, ma Avnet ha rifiutato ogni pagamento, in linea con la politica di non collaborazione con i criminali informatici. L’indagine ha rivelato possibili collegamenti con attori noti per campagne supply-chain e ransomware-as-a-service. L’azienda ha implementato audit di sicurezza approfonditi sui fornitori cloud e sui flussi di accesso, migliorando le pratiche di encryption e segregazione dei dati. I clienti sono stati invitati a monitorare potenziali leak secondari sul dark web, dove sono comparsi annunci riconducibili all’incidente.
Implicazioni e trend globali
Questi tre episodi delineano un quadro coerente di vulnerabilità sistemiche nei servizi cloud e nelle credenziali riutilizzate, che rimangono uno dei punti deboli più sfruttati nel panorama cyber del 2025. L’abuso di token OAuth in Salesforce, il riutilizzo di password in DraftKings e le esposizioni indirette di dati su cloud terzi in Avnet mostrano come la minaccia si sposti sempre più verso l’interconnessione tra sistemi e l’ecosistema software-as-a-service. Tutte e tre le aziende hanno scelto una linea comune: nessuna trattativa con gli estorsori. È una posizione strategica che mira a scoraggiare futuri attacchi di tipo ransomware o leak-based, dove il valore del ricatto supera spesso quello dei dati stessi. Questi casi mostrano anche un’evoluzione delle tattiche criminali: la combinazione tra abuso di identità digitali, esfiltrazione silente e campagne di pressione mediatica rappresenta oggi la nuova frontiera del cybercrime organizzato. In risposta, le aziende stanno potenziando intelligence condivisa, controlli sugli accessi e programmi di monitoraggio predittivo. La lezione più ampia è che la sicurezza non può più essere confinata al perimetro aziendale: ogni API, credenziale o app integrata diventa una potenziale porta d’ingresso. Il rifiuto del riscatto da parte di Salesforce e Avnet non è solo una decisione economica, ma un segnale politico nel mercato della cybersicurezza: l’unico modo per ridurre la redditività del crimine è sottrargli il valore del ricatto.
