Una nuova serie di incidenti informatici dimostra come le minacce cyber continuino a colpire contemporaneamente settori industriali, sanità digitale, servizi cloud e infrastrutture pubbliche. Nelle ultime settimane Tata Electronics ha confermato una compromissione che ha portato alla diffusione di documentazione tecnica collegata alla produzione di dispositivi Apple, mentre la società sanitaria Xolis ha notificato un data breach che coinvolge quasi 1,4 milioni di persone. Sul fronte dei servizi digitali, LastPass ha comunicato un accesso non autorizzato ai dati CRM aziendali dopo un attacco supply chain che ha interessato la piattaforma Klue. Parallelamente, due membri del gruppo cybercriminale Scattered Spider si sono dichiarati colpevoli per l’attacco contro Transport for London, uno degli incidenti più significativi che hanno colpito infrastrutture pubbliche britanniche negli ultimi anni. I quattro episodi mostrano come furto di dati, compromissione della supply chain e attacchi contro infrastrutture critiche continuino a rappresentare alcune delle principali minacce per organizzazioni pubbliche e private.
Cosa leggere
Il leak di dati industriali che colpisce Tata Electronics
Tata Electronics ha confermato di aver subito un incidente di sicurezza che ha interessato una parte della propria infrastruttura IT senza compromettere le attività operative e produttive. L’azienda ha dichiarato di aver attivato immediatamente le procedure di risposta all’incidente e di aver mantenuto pienamente operative le linee di business principali. Tuttavia la vicenda ha assunto particolare rilevanza dopo che il gruppo World Leaks ha rivendicato il furto e la pubblicazione di numerosi documenti interni. I dati diffusi comprendono materiale tecnico collegato alla produzione di dispositivi Apple, inclusi schemi di componenti elettronici, documentazione relativa a PCB, specifiche dei materiali e file SDK utilizzati nei processi produttivi. La natura delle informazioni esposte rende l’incidente particolarmente delicato poiché coinvolge proprietà intellettuale e dettagli tecnici legati alla filiera globale dei semiconduttori e dell’elettronica di consumo. Tata Electronics, parte del gruppo Tata, svolge infatti un ruolo strategico nella produzione e nell’assemblaggio di componenti per gli ecosistemi Apple. Il gruppo World Leaks, considerato il rebranding dell’operazione criminale Hunters International, ha abbandonato in gran parte l’utilizzo del ransomware tradizionale per concentrarsi sull’estorsione basata esclusivamente sulla pubblicazione di dati rubati. Sebbene l’azienda sostenga che i sistemi di produzione non abbiano subito impatti operativi, l’esposizione di documentazione tecnica riservata rappresenta un rischio significativo per la competitività industriale e la protezione della proprietà intellettuale.
Xolis espone dati sanitari di quasi 1,4 milioni di persone
L’azienda di healthtech Xolis è stata vittima di un attacco di phishing mirato che ha consentito agli aggressori di ottenere accesso non autorizzato alla rete aziendale. L’intrusione è avvenuta il 20 gennaio 2026 ed è stata rilevata due giorni dopo, quando i sistemi di monitoraggio hanno identificato attività sospette. La risposta immediata dell’azienda, supportata da consulenti esterni specializzati in cybersecurity, ha consentito di contenere la compromissione, ma non ha impedito l’esposizione di una grande quantità di dati personali. Il breach coinvolge 1.396.519 individui e comprende informazioni altamente sensibili come nomi, indirizzi, date di nascita, dati relativi alle assicurazioni sanitarie, numeri di previdenza sociale e dettagli sui trattamenti medici. Questo tipo di informazioni possiede un valore particolarmente elevato nel mercato criminale perché può essere utilizzato per furto di identità, frodi assicurative, campagne di phishing altamente personalizzate e attività di social engineering. Xolis ha notificato l’incidente alle autorità competenti e ha avviato una comunicazione diretta con le persone coinvolte, offrendo servizi di monitoraggio dell’identità e assistenza per il recupero in caso di utilizzo fraudolento dei dati. L’azienda ha inoltre imposto il reset delle password, rafforzato il monitoraggio delle reti interne e accelerato i programmi di formazione sulla sicurezza per il personale. Nonostante al momento non siano stati rilevati utilizzi impropri delle informazioni sottratte, la natura dei dati coinvolti rende il rischio particolarmente elevato nel lungo periodo, soprattutto per quanto riguarda la possibilità di attacchi mirati contro le vittime.
LastPass coinvolta in un attacco supply chain attraverso Klue
Anche LastPass è finita coinvolta in un incidente di sicurezza, sebbene in questo caso l’origine dell’attacco sia riconducibile a una compromissione della supply chain. L’azienda ha confermato che alcuni dati CRM sono stati esposti dopo un attacco contro Klue, piattaforma utilizzata per attività di market intelligence e integrata con sistemi come Salesforce e Gong. Gli aggressori hanno ottenuto e sfruttato token OAuth gestiti da Klue per accedere a informazioni conservate all’interno dell’ambiente CRM di LastPass. I dati esposti comprendono nomi, numeri di telefono, indirizzi email, recapiti fisici e informazioni relative ai ticket di supporto. Secondo le verifiche effettuate dall’azienda, non risultano compromessi dati relativi alle registrazioni delle chiamate o alle comunicazioni conservate da Gong. L’operazione è stata attribuita al gruppo di estorsione Icarus, che avrebbe colpito contemporaneamente più organizzazioni utilizzatrici della piattaforma Klue. LastPass ha appreso della compromissione il 12 giugno 2026 e ha immediatamente revocato gli accessi, ruotato token API e credenziali OAuth, avviando parallelamente le notifiche alle autorità competenti. L’azienda ha precisato che i prodotti, l’infrastruttura operativa e soprattutto le vault dei clienti non sono stati coinvolti nell’incidente. Nonostante ciò, il rischio principale riguarda possibili campagne di phishing e social engineering costruite utilizzando le informazioni sottratte. Proprio per questo motivo LastPass ha invitato gli utenti a ignorare comunicazioni non richieste e a fare affidamento esclusivamente sui canali ufficiali per eventuali richieste di supporto.
L’attacco a Klue mostra i rischi della supply chain moderna
La compromissione di Klue rappresenta un esempio concreto delle difficoltà che le organizzazioni affrontano nel controllo della propria superficie di attacco estesa. Anche aziende dotate di solide misure di sicurezza possono essere coinvolte indirettamente quando un fornitore o un partner tecnologico viene compromesso. Oltre a LastPass, l’incidente ha interessato realtà come Recorded Future, Tanium, Jamf, Sprout Social e Insurity, dimostrando come una singola violazione possa propagarsi lungo un ecosistema di clienti attraverso credenziali, token di accesso e integrazioni cloud. Questo modello di attacco è particolarmente efficace perché sfrutta relazioni di fiducia consolidate tra organizzazioni e fornitori di servizi. In molti casi gli accessi concessi a piattaforme esterne possiedono privilegi sufficienti per consentire agli aggressori di ottenere dati sensibili senza dover compromettere direttamente i sistemi delle vittime finali. La crescita delle integrazioni SaaS e delle architetture cloud ibride rende sempre più importante il monitoraggio continuo di token OAuth, API e autorizzazioni concesse a servizi terzi.
Scattered Spider ammette l’attacco a Transport for London
Sul fronte giudiziario, due membri del gruppo cybercriminale Scattered Spider hanno ammesso la propria responsabilità nell’attacco contro Transport for London (TfL). I due imputati, Thalha Jubair e Owen Flowers, si sono dichiarati colpevoli presso la Woolwich Crown Court per il ruolo avuto nell’intrusione che ha colpito i sistemi dell’ente tra agosto e settembre 2024. L’attacco ha avuto conseguenze economiche particolarmente rilevanti, con danni stimati in circa 29 milioni di sterline. Le operazioni di TfL hanno subito interruzioni significative, inclusi ritardi nella gestione dei rimborsi del sistema Oyster e la necessità di reimpostare manualmente le password di circa 28.000 dipendenti. Le indagini hanno inoltre confermato il furto di dati appartenenti agli utenti del sistema di trasporto londinese. Durante il procedimento giudiziario sono state presentate prove che collegano direttamente gli imputati all’operazione, inclusi dispositivi elettronici sequestrati e comunicazioni effettuate tramite Telegram e altre piattaforme collaborative utilizzate durante la fase operativa dell’attacco. Gli investigatori hanno inoltre evidenziato collegamenti tra Owen Flowers e altre intrusioni contro organizzazioni sanitarie statunitensi come SSM Health Care Corporation e Sutter Health.
Le ammissioni di colpevolezza rafforzano le indagini contro Scattered Spider
Il caso Scattered Spider continua a essere uno dei più rilevanti nel panorama cybercriminale internazionale. Il gruppo è noto per la capacità di combinare tecniche di social engineering, furto di credenziali e compromissione di infrastrutture critiche, prendendo di mira organizzazioni di alto profilo nei settori dei trasporti, della sanità e dei servizi digitali. Le dichiarazioni di colpevolezza dei due imputati rappresentano un passo importante per le autorità britanniche e internazionali impegnate nel contrasto delle attività del gruppo. La sentenza è prevista per il 16 luglio e potrebbe fornire ulteriori dettagli operativi sulle modalità utilizzate dagli attaccanti. Le autorità hanno sottolineato come la collaborazione immediata di Transport for London durante le indagini abbia contribuito in modo significativo alla raccolta delle prove e all’identificazione dei responsabili. L’intera vicenda conferma quanto la tempestività nella gestione degli incidenti e nella cooperazione con le forze dell’ordine possa risultare determinante per limitare l’impatto di attacchi complessi e favorire il perseguimento degli autori.
Dati industriali, sanitari e aziendali restano tra i bersagli principali
Gli incidenti che hanno coinvolto Tata Electronics, Xolis, LastPass e Transport for London mostrano come gli attaccanti continuino a concentrarsi su tre categorie di asset particolarmente preziose: proprietà intellettuale, dati personali e accessi privilegiati. Il furto di documentazione tecnica collegata ad Apple evidenzia il valore crescente delle informazioni industriali, mentre il caso Xolis conferma l’interesse criminale verso i dati sanitari. Parallelamente, la compromissione della supply chain che ha coinvolto LastPass dimostra quanto token OAuth e integrazioni cloud rappresentino oggi obiettivi strategici per gruppi specializzati nell’estorsione e nell’accesso iniziale. Le ammissioni di colpevolezza di membri di Scattered Spider ricordano infine che gli attacchi contro infrastrutture critiche possono produrre impatti economici e operativi enormi anche senza l’utilizzo di malware particolarmente sofisticati. In un contesto caratterizzato da ecosistemi digitali sempre più interconnessi, la protezione della supply chain, il controllo degli accessi e il monitoraggio continuo delle attività anomale restano elementi essenziali per ridurre il rischio di compromissioni su larga scala.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
