Sommario
Due incidenti distinti ma emblematici hanno messo in luce l’estrema vulnerabilità delle infrastrutture digitali, anche nei settori più regolamentati. Da un lato, il gruppo editoriale statunitense Lee Enterprises è stato colpito da un attacco ransomware che ha compromesso i dati personali di quasi 40.000 individui, paralizzando temporaneamente la sua capacità di stampa e distribuzione. Dall’altro, la piattaforma di criptovalute Coinbase ha dovuto fronteggiare una grave violazione interna causata da dipendenti corrotti del partner TaskUs in India, con conseguenze dirette per circa 70.000 clienti. Entrambi i casi evidenziano criticità strutturali nei sistemi di difesa informatica, soprattutto nella gestione dei fornitori esterni e degli accessi privilegiati.
Il ransomware contro Lee Enterprises svela dati sensibili di quasi 40.000 individui
Una grave violazione di dati ha colpito il gigante editoriale Lee Enterprises, uno dei più grandi gruppi editoriali statunitensi. A seguito di un attacco ransomware avvenuto il 3 febbraio 2025, i cybercriminali hanno esfiltrato documenti contenenti informazioni personali di almeno 39.779 persone, secondo quanto comunicato dall’azienda stessa all’Attorney General dello Stato del Maine.
Tra i dati compromessi figurano nomi completi e numeri di previdenza sociale, un tipo di informazione altamente sensibile e potenzialmente utilizzabile per frodi fiscali e furti d’identità. L’impatto non si è fermato alla sfera digitale: il ransomware ha causato un blackout operativo per numerosi quotidiani, tra cui il St. Louis Post-Dispatch e il Buffalo News, paralizzando la stampa e la distribuzione per giorni.
Il gruppo ransomware Qilin ha rivendicato l’attacco, affermando di aver sottratto 350 GB di dati distribuiti in oltre 120.000 documenti, tra cui contratti, fogli di calcolo finanziari e copie di documenti governativi. Il gruppo ha poi minacciato la pubblicazione completa del materiale sul proprio dark web leak site, dopo aver già diffuso campioni come prova.
Compromissione interna a Coinbase: dipendenti corrotti di TaskUs facilitano furto di dati
In un altro episodio critico per la sicurezza dei dati, l’exchange di criptovalute Coinbase ha rivelato una grave violazione interna legata alla sua forza lavoro esternalizzata in India. Dipendenti della società TaskUs, incaricata dell’assistenza clienti per Coinbase, sono stati corrotti da attori esterni per fotografare dati sensibili visibili sui loro terminali di lavoro.
L’inchiesta ha portato alla scoperta di almeno due dipendenti infedeli coinvolti in una campagna più ampia e coordinata. I dati esfiltrati includevano nomi, indirizzi email, cronologia delle transazioni, parziali informazioni finanziarie e documenti di identità di circa 70.000 utenti Coinbase.
Dopo aver rifiutato un tentativo di estorsione da 20 milioni di dollari, Coinbase ha deciso di offrire una ricompensa equivalente per l’identificazione dei responsabili. La piattaforma stima che le perdite potrebbero arrivare a 400 milioni di dollari, un danno potenzialmente devastante anche per la reputazione dell’azienda, già messa alla prova da precedenti falle di sicurezza.
Un filo rosso tra le due violazioni: vulnerabilità dei fornitori e rischio insider
Questi due incidenti, apparentemente scollegati per settori e dinamiche, evidenziano una vulnerabilità sistemica comune: la dipendenza da fornitori terzi e la difficoltà nel controllo degli insider. Mentre nel caso Lee Enterprises l’accesso è avvenuto tramite attacco esterno con crittografia dei dati, Coinbase ha subito un attacco interno mediato da corruzione, particolarmente difficile da prevenire tramite strumenti automatici.
Entrambe le aziende si sono trovate a dover contenere danni su scala nazionale: Lee Enterprises con l’interruzione delle pubblicazioni, Coinbase con la violazione della fiducia di decine di migliaia di clienti in un settore già vulnerabile come quello delle criptovalute.
Il ruolo dei SOC nella prevenzione e gestione delle minacce ibride
Questi casi dimostrano come le aziende, soprattutto quelle con un alto profilo mediatico o finanziario, debbano disporre di Security Operations Center (SOC) in grado di gestire minacce ibride, sia esterne che interne. L’adozione di sistemi SIEM avanzati, l’analisi comportamentale e la sorveglianza dei privilegi d’accesso degli operatori umani sono oggi imprescindibili.
Inoltre, nel caso Coinbase, emerge il bisogno critico di controlli proattivi sui partner terzi, incluse revisioni periodiche dei protocolli di sicurezza presso call center e fornitori esterni. I sistemi zero-trust, se correttamente implementati, potrebbero ridurre significativamente questi rischi.
