Ericsson US conferma un data breach che ha coinvolto 15.661 persone dopo un attacco informatico che ha colpito uno dei suoi service provider. Nello stesso periodo il gruppo cybercriminale ShinyHunters rivendica nuove campagne contro ambienti Salesforce Aura, mentre la piattaforma sanitaria Cognizant TriZetto ammette l’esposizione di dati sensibili appartenenti a 3,4 milioni di pazienti. Questi tre incidenti, emersi tra il 2025 e l’inizio del 2026, evidenziano un trend crescente di violazioni che colpiscono supply chain tecnologiche, configurazioni cloud e infrastrutture sanitarie. Le aziende coinvolte hanno avviato indagini interne, notificato le autorità e introdotto programmi di protezione dell’identità per gli utenti colpiti. Nel complesso gli eventi dimostrano come i cybercriminali continuino a sfruttare configurazioni errate, accessi indiretti tramite fornitori e sistemi web esposti.
Cosa leggere
Ericsson US conferma furto dati dopo attacco a un service provider
La filiale statunitense di Ericsson ha notificato un data breach che ha esposto informazioni personali appartenenti a 15.661 individui. Secondo la documentazione presentata alle autorità statunitensi, l’accesso non autorizzato è avvenuto tra il 17 e il 22 aprile 2025 attraverso un service provider esterno. Il fornitore ha individuato attività sospette il 28 aprile 2025 e ha immediatamente informato l’FBI, avviando un’indagine forense con il supporto di specialisti di sicurezza informatica. L’analisi completa si è conclusa nel febbraio 2026, confermando che gli aggressori hanno ottenuto accesso a file contenenti dati sensibili. Tra le informazioni sottratte figurano nomi, indirizzi, numeri di Social Security, numeri di patente, documenti governativi, date di nascita, dati finanziari e informazioni mediche. Ericsson ha iniziato a inviare notifiche ufficiali agli individui coinvolti il 9 marzo 2026 e ha aggiornato diverse autorità statali, tra cui il California Attorney General e il Maine Attorney General. Nel solo stato del Texas risultano colpite 4.377 persone.
Programma di protezione identità offerto da Ericsson
Per mitigare i possibili effetti della violazione, Ericsson ha attivato un programma gratuito di protezione dell’identità gestito dalla società IDX. Il servizio include monitoraggio del credito, scansione del dark web, assistenza per il recupero dell’identità e copertura assicurativa contro frodi fino a circa 917.000 euro. L’azienda ha dichiarato di non avere prove di utilizzo fraudolento dei dati rubati, ma invita gli utenti interessati a iscriversi al servizio di protezione entro il 9 giugno 2026. Il caso evidenzia ancora una volta i rischi legati alla supply chain digitale, dove vulnerabilità o compromissioni di fornitori terzi possono propagarsi alle aziende clienti.
ShinyHunters rivendica attacchi contro siti Salesforce Aura
Parallelamente al caso Ericsson, il gruppo cybercriminale ShinyHunters sostiene di aver compromesso centinaia di aziende sfruttando configurazioni errate su piattaforme Salesforce Experience Cloud. La campagna, iniziata nel settembre 2025, prende di mira endpoint pubblici identificabili tramite il percorso /s/sfsites/aura. Gli aggressori analizzano i siti alla ricerca di guest user profiles configurati con permessi eccessivi che permettono di interrogare oggetti del database CRM senza autenticazione. Secondo Salesforce, non si tratta di una vulnerabilità intrinseca della piattaforma ma di errori di configurazione da parte dei clienti. Il gruppo ShinyHunters utilizza una versione modificata dello strumento open source AuraInspector, originariamente sviluppato dai ricercatori di Mandiant, per automatizzare la scansione di siti esposti su internet.
Tecniche di scansione e bypass dei limiti GraphQL
Durante le operazioni di raccolta dati, gli aggressori hanno dovuto affrontare il limite di 2.000 record per query GraphQL imposto dalla piattaforma. ShinyHunters afferma di aver aggirato questa restrizione utilizzando il parametro sortBy, che permetteva di eseguire richieste successive ottenendo dataset più ampi. Salesforce ha dichiarato di aver corretto questo metodo di bypass prima della pubblicazione ufficiale dell’advisory di sicurezza. Il gruppo sostiene tuttavia di aver sviluppato una nuova tecnica più discreta per continuare l’estrazione dei dati. Durante le scansioni iniziali veniva utilizzato un user agent identificato come Anthropic/RapeForceV2.01.39, successivamente sostituito con il più comune Mozilla/5.0 per mimetizzare il traffico. Secondo le dichiarazioni del gruppo, oltre 100 aziende di alto profilo sarebbero state compromesse, mentre il numero totale dei siti vulnerabili individuati potrebbe essere compreso tra 300 e 400.
Raccomandazioni di sicurezza pubblicate da Salesforce
In risposta alla campagna, Salesforce ha pubblicato linee guida dettagliate per ridurre il rischio di esposizione dei dati. Tra le misure suggerite figurano la revisione dei permessi guest user, l’applicazione del principio least privilege e la disattivazione dell’accesso pubblico alle API non necessarie. L’azienda raccomanda inoltre di impostare le configurazioni org-wide defaults su modalità Private, disabilitare la self-registration nei portali pubblici e monitorare i log di Aura Event Monitoring per individuare accessi sospetti. Gli amministratori sono invitati a controllare query anomale su oggetti non pubblici e verificare eventuali accessi da indirizzi IP sconosciuti.
Cognizant TriZetto espone dati sanitari di milioni di pazienti
Il terzo incidente riguarda Cognizant TriZetto, piattaforma utilizzata da numerose organizzazioni sanitarie statunitensi per gestire servizi assicurativi e verifiche di idoneità dei pazienti. L’azienda ha individuato attività sospette il 2 ottobre 2025 su un web portal utilizzato per le transazioni di verifica assicurativa. L’indagine ha rivelato che l’accesso non autorizzato era iniziato molto prima, il 19 novembre 2024. Il breach ha esposto dati appartenenti a circa 3,4 milioni di pazienti. Le informazioni coinvolte includono nomi completi, indirizzi, date di nascita, numeri di Social Security, numeri di iscrizione assicurativa, ID Medicare, nomi dei provider sanitari e informazioni demografiche e sanitarie. Secondo la società non sono stati compromessi dati finanziari come numeri di carte di credito o conti bancari.
Notifiche ai clienti e indagini sulle cause della violazione
TriZetto ha informato i provider sanitari il 9 dicembre 2025, mentre le notifiche dirette agli utenti interessati sono iniziate nel febbraio 2026. L’azienda ha ingaggiato specialisti esterni di sicurezza informatica e ha informato le autorità competenti. Come misura di mitigazione viene offerto un programma gratuito di monitoraggio del credito gestito dalla società Kroll per un periodo di 12 mesi. Al momento nessun gruppo ransomware ha rivendicato l’attacco e non risultano dati pubblicati su forum underground. Tuttavia il caso evidenzia i rischi associati ai sistemi informativi sanitari, dove le informazioni personali e cliniche hanno un valore elevato per attività di frode.
Incidenti evidenziano vulnerabilità in cloud e supply chain
L’insieme di questi tre casi mostra come le violazioni dei dati possano derivare da diversi vettori di attacco. Nel caso Ericsson, il punto di ingresso è stato un fornitore esterno della supply chain digitale. Gli attacchi rivendicati da ShinyHunters invece sfruttano configurazioni errate nei servizi cloud. Nel caso TriZetto, l’accesso è avvenuto tramite un portale web utilizzato per operazioni assicurative. In tutti e tre gli incidenti non emergono exploit tecnici particolarmente sofisticati, ma piuttosto l’abuso di funzionalità legittime o configurazioni non sicure. Questo tipo di attacco è sempre più comune perché richiede meno sviluppo tecnico rispetto allo sfruttamento di vulnerabilità zero-day. Le aziende stanno rispondendo con audit di sicurezza più frequenti, monitoraggio avanzato dei log e programmi di formazione per gli amministratori di sistema.
Cybersecurity 2026 tra configurazioni cloud e attacchi supply chain
Gli eventi che coinvolgono Ericsson, Salesforce e TriZetto rappresentano un esempio delle principali sfide di cybersecurity nel 2026. L’adozione massiccia di servizi cloud e infrastrutture condivise aumenta la superficie di attacco e rende più complessa la gestione delle autorizzazioni. Le configurazioni errate rimangono una delle cause principali delle violazioni di dati, soprattutto nei sistemi accessibili pubblicamente tramite internet. Per le organizzazioni sanitarie e tecnologiche la protezione dei dati sensibili richiede controlli continui sulle autorizzazioni, revisione periodica dei fornitori e monitoraggio costante delle attività di rete. La combinazione di attacchi supply chain, configurazioni cloud errate e infrastrutture web esposte continuerà probabilmente a rappresentare uno dei principali rischi informatici nei prossimi anni.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
