Sommario
Il settore della cybersecurity globale è stato segnato da una serie di eventi rilevanti che illustrano la complessità della protezione dei dati, la crescita della criminalità informatica organizzata e il costante intreccio tra tecnologia, diritto e responsabilità etica nella gestione delle crisi.
23andMe acquisita da TTAM Research Institute: focus su privacy dopo il mega-breach genetico
Dopo il maxi data breach del 2023 che ha coinvolto circa 7 milioni di utenti (da un attacco a 14.000 account tramite credential stuffing), la piattaforma di genealogia genetica 23andMe si prepara all’acquisizione da parte del TTAM Research Institute, guidato dalla stessa cofondatrice Anne Wojcicki. Il deal, dal valore di 305 milioni di dollari, arriva dopo la bancarotta Chapter 11 e le pesanti sanzioni (2,3 milioni di sterline dal Garante UK per carenze su autenticazione, accessi e rilevamento delle minacce). TTAM ha assicurato agli utenti che la privacy resterà centrale, mantenendo la policy “opt-out” per la cancellazione dei dati e gli attuali protocolli di sicurezza, seppure con gli stessi dipendenti e sistemi già compromessi in passato. La risposta di 23andMe alla violazione — che attribuiva la colpa agli utenti senza assumersi responsabilità interna — resta un precedente negativo per la reputazione nel settore.
Indagini DOJ su negoziatori ransomware: sospetto conflitto d’interessi e rischio etico
Il Dipartimento di Giustizia USA sta indagando su un ex-dipendente della società di incident response DigitalMint, accusato di aver collaborato segretamente con gang ransomware per ottenere una percentuale sulle estorsioni durante le trattative. DigitalMint, attiva dal 2017 con oltre 2.000 negoziazioni, ha dichiarato di aver licenziato la persona coinvolta e di collaborare con le autorità. Secondo analisti di settore, il modello di business “a percentuale sul riscatto” espone a rischi di moral hazard e mina la fiducia nei confronti degli intermediari tra vittime e criminali. Il caso riaccende il dibattito sulla trasparenza nelle negoziazioni, sulle policy assicurative e sulla reale efficacia del pagamento dei riscatti nel ridurre l’impatto delle campagne ransomware.
Arresti in Spagna: gruppi criminali mirano a politici, giornalisti e istituzioni
La polizia spagnola ha arrestato due hacker nelle Canarie, ritenuti responsabili di accessi non autorizzati e furto dati ai danni di politici di alto livello, membri del governo e giornalisti. Le informazioni sottratte venivano poi vendute sul dark web e diffuse sui social per accrescere il valore di mercato. Il gruppo, definito una “seria minaccia alla sicurezza nazionale”, operava con ruoli distinti: uno esperto in esfiltrazione tecnica, l’altro nella gestione delle transazioni, portafogli crypto e vendita. Questi arresti si inseriscono in una lunga serie di operazioni di successo della polizia spagnola contro cyber gang internazionali, con precedenti che includono intrusioni in enti di difesa, università e reti NATO.
Lezioni di sicurezza, minacce e vulnerabilità nel contesto internazionale
L’acquisizione di 23andMe da parte di TTAM Research Institute mette in luce i rischi connessi alla gestione di grandi moli di dati sensibili, come i profili genetici e le informazioni sanitarie. Il breach del 2023 ha dimostrato che anche una percentuale minima di account compromessi può generare effetti a catena devastanti grazie a funzioni di condivisione interna tra utenti: i dati di 14.000 profili violati hanno permesso l’accesso a informazioni genetiche di oltre 7 milioni di persone. La risposta inefficace della società, che attribuiva la colpa unicamente agli utenti per cattive pratiche di password hygiene, è stata ulteriormente criticata dopo la sanzione dell’ICO britannico, sottolineando la necessità di autenticazione robusta e detection proattiva su sistemi cloud.
Sul versante ransomware, il caso DigitalMint porta alla ribalta il problema strutturale delle negoziazioni opache e degli interessi in conflitto. La pratica di affidarsi a intermediari che guadagnano in proporzione al valore del riscatto pagato introduce incentivi negativi, come già segnalato in passato da ProPublica, e offre margini di collaborazione fraudolenta tra mediatori e criminali. Il mercato delle negoziazioni rimane fragile, con il rischio di creare circuiti chiusi in cui la consulenza agli attaccati è in realtà pilotata dagli stessi attori ostili.
Il successo delle forze dell’ordine spagnole nel colpire gruppi specializzati nel furto e nella monetizzazione di dati istituzionali e personali evidenzia l’importanza delle operazioni di cyber-intelligence e dell’azione giudiziaria internazionale. L’arresto di figure chiave, la confisca di dispositivi e la collaborazione cross-border sono oggi strumenti essenziali per ridurre la superficie d’attacco e limitare la circolazione di dati sensibili nei circuiti criminali globali.
Strategie di difesa e raccomandazioni operative
I casi descritti impongono una revisione dei modelli di autenticazione (multi-factor obbligatorio), investimenti continui nella threat detection e l’adozione di best practice per la gestione degli incidenti, soprattutto in ambiti dove la reputazione e la fiducia sono asset strategici. Nel settore delle negoziazioni ransomware, le aziende dovrebbero affidarsi solo a provider trasparenti, con fee fisse e processi documentati, evitando modelli percentuali che incentivano l’escalation dei riscatti. Le autorità dovranno continuare a sviluppare task force dedicate e meccanismi di cooperazione internazionale per l’identificazione e la repressione di gruppi criminali.
