Una breccia dati nella società di ingegneria digitale GlobalLogic, controllata da Hitachi, espone le informazioni personali di 10.471 dipendenti attuali e passati. L’attacco sfrutta vulnerabilità note in Oracle E-Business Suite (EBS) e si inserisce in una campagna globale del gruppo ransomware Clop, che negli ultimi mesi ha preso di mira organizzazioni in diversi settori. L’incidente, confermato il 9 ottobre 2025, evidenzia la crescente esposizione di infrastrutture aziendali basate su sistemi legacy, ancora fondamentali per la gestione di processi HR, payroll e procurement.
Cosa leggere
Vulnerabilità Oracle e campagna Clop
L’origine della breccia risiede nello sfruttamento di due vulnerabilità critiche, CVE-2025-61882 e CVE-2025-61884, presenti in Oracle E-Business Suite. Queste falle permettono l’accesso non autorizzato ai sistemi interni e l’esfiltrazione di dati sensibili. Secondo l’indagine interna, l’intrusione inizia il 10 luglio 2025 e prosegue fino al 20 agosto, consentendo agli attaccanti di sottrarre database completi di informazioni personali. GlobalLogic conferma che l’incidente riguarda esclusivamente la piattaforma E-Business Suite, senza impatti su altri sistemi aziendali. I dati trafugati includono nomi, indirizzi, email, date di nascita, nazionalità, passaporti, identificativi nazionali, dettagli bancari e informazioni salariali. L’azienda ha iniziato a notificare le persone colpite e a collaborare con le autorità competenti in materia di privacy. La campagna, ricondotta al gruppo Clop, rientra nella più ampia strategia di attacchi che sfruttano zero-day in software aziendali diffusi. Clop, noto per campagne precedenti su Accellion FTA, GoAnywhere MFT, Cleo e MOVEit Transfer, evita la crittografia dei file tipica dei ransomware tradizionali, preferendo il furto e la pubblicazione di dati sui siti Tor come leva di pressione economica. Oracle, dopo settimane di attività sospette, rilascia patch di emergenza a settembre 2025, ma molte aziende subiscono compromissioni prima dell’aggiornamento. Le altre vittime confermate della stessa ondata includono The Washington Post e Allianz UK, con 80 clienti attivi e oltre 670 ex dipendenti coinvolti. Allianz UK stima 750 persone impattate, mentre Clop dichiara pubblicamente di aver colpito circa 30 organizzazioni aggiuntive nei settori sanitario, finanziario, manifatturiero, educativo e media. Il Dipartimento di Stato USA ha offerto una taglia da 9,17 milioni di euro per informazioni utili a collegare il gruppo Clop a governi stranieri, mentre GlobalLogic non ha commentato eventuali richieste di riscatto. L’incidente, tuttavia, sottolinea la persistente vulnerabilità dei sistemi ERP legacy, dove patch e aggiornamenti spesso arrivano dopo lo sfruttamento attivo.
Crescita record nei pagamenti assicurativi cyber nel Regno Unito
In parallelo alla campagna Clop, il mercato assicurativo britannico registra un aumento del 230 per cento nei pagamenti legati a polizze cyber, con un totale di 234,5 milioni di euro nel 2024, rispetto ai 70,2 milioni di euro del 2023. Secondo l’Associazione degli Assicuratori Britannici, gli attacchi ransomware rappresentano il 51 per cento dei claims, in crescita dal 32 per cento dell’anno precedente. Le cifre non includono ancora i danni del 2025, tra cui gli attacchi a Marks & Spencer, con un potenziale risarcimento di 91,7 milioni di euro, e a Co-op, stimato a 99,1 milioni di euro ma senza rimborso completo. Jaguar Land Rover, pur non avendo una polizza cyber dedicata, riceve 1,83 miliardi di euro in aiuti governativi per coprire le perdite dovute all’interruzione delle operazioni. Le compagnie assicurative sottolineano come le polizze cyber stiano evolvendo da strumenti di indennizzo a strumenti di governance, imponendo requisiti di sicurezza più stringenti alle aziende. Il National Cyber Security Centre britannico osserva che il coinvolgimento degli assicuratori contribuisce a migliorare la postura difensiva complessiva, grazie a controlli preventivi e a servizi di monitoraggio integrato. Tuttavia, il dibattito resta aperto sul rischio che la disponibilità di coperture incoraggi il pagamento dei riscatti invece di potenziare la resilienza interna.
Implicazioni di sicurezza e resilienza industriale
Gli incidenti di GlobalLogic e Oracle evidenziano un rischio sistemico nei sistemi legacy aziendali, spesso trascurati nelle strategie di sicurezza. Le vulnerabilità ERP e la lentezza nell’applicazione delle patch rendono il settore corporate un target privilegiato per gruppi ransomware sofisticati. Allo stesso tempo, l’aumento dei costi assicurativi e la necessità di resilienza cyber stanno ridefinendo le priorità di investimento per governi e aziende. In parallelo, casi come Ajax mostrano come anche nel settore difesa, dove l’innovazione dovrebbe rappresentare un vantaggio competitivo, la complessità tecnologica non gestita può diventare un fattore di rischio operativo. La convergenza di vulnerabilità digitali e fisiche sottolinea la necessità di approcci unificati alla sicurezza industriale, con un focus congiunto su cyber defense, supply chain e aggiornamento infrastrutturale.
