Una nuova ondata di incidenti informatici ha colpito contemporaneamente istituzioni europee, organizzazioni educative statunitensi e ambienti accademici di prestigio internazionale. Al centro dell’attenzione si trova il gruppo di estorsione ShinyHunters, che ha rivendicato la compromissione dei sistemi del Council of Europe e il furto di dati dalla piattaforma educativa Infinite Campus, utilizzata da migliaia di distretti scolastici negli Stati Uniti. Parallelamente, un ex dipendente scolastico americano è stato condannato per una lunga serie di attacchi informatici contro il proprio ex datore di lavoro, mentre l’Università di Oxford ha reso noto un nuovo data breach che ha coinvolto la piattaforma CareerConnect. Gli episodi confermano come il settore educativo e le organizzazioni pubbliche continuino a rappresentare obiettivi privilegiati sia per gruppi criminali esterni sia per minacce interne.
Cosa leggere
ShinyHunters rivendica la compromissione del Council of Europe
Il caso più rilevante riguarda il Council of Europe, l’organizzazione internazionale che riunisce 46 Stati membri e rappresenta oltre 700 milioni di cittadini europei. Il gruppo ShinyHunters ha dichiarato di aver sottratto oltre 429.000 documenti contenenti informazioni sensibili relative al personale dell’organizzazione. Secondo quanto affermato dagli attaccanti, il materiale includerebbe più di 409.000 buste paga riferite a oltre 10.000 dipendenti nel periodo compreso tra il 2011 e il 2026, oltre a migliaia di fascicoli HR, curriculum e documentazione amministrativa interna. Tra le informazioni potenzialmente esposte figurerebbero dati anagrafici, indirizzi, numeri telefonici, coordinate bancarie, informazioni fiscali, dettagli previdenziali e perfino documentazione sanitaria. L’organizzazione ha confermato di essere a conoscenza delle rivendicazioni e di aver avviato un’indagine interna, senza tuttavia confermare l’autenticità dei dati pubblicati dagli attaccanti.
La minaccia di pubblicazione dei dati aumenta la pressione
Come avviene frequentemente nelle operazioni di estorsione digitale, gli attaccanti hanno accompagnato la rivendicazione con una scadenza precisa. ShinyHunters ha dichiarato che i dati sarebbero stati pubblicati il 17 giugno 2026 nel caso in cui l’organizzazione non avesse stabilito un contatto entro il giorno precedente. Il gruppo ha inoltre minacciato ulteriori azioni contro l’infrastruttura digitale del Council of Europe, lasciando intendere la possibilità di nuove attività offensive oltre alla semplice pubblicazione dei dati. Sebbene non siano ancora disponibili conferme indipendenti sulla portata della compromissione, la natura delle informazioni descritte rende il caso particolarmente delicato sotto il profilo della protezione dei dati personali e della sicurezza istituzionale.
Infinite Campus conferma il furto di dati del personale scolastico
Lo stesso gruppo criminale è stato associato anche alla compromissione di Infinite Campus, una delle piattaforme di gestione scolastica più diffuse negli Stati Uniti. Il servizio viene utilizzato da oltre 3.200 distretti scolastici per amministrare attività educative, comunicazioni e dati amministrativi. L’attacco risale a marzo 2026 e avrebbe interessato un ambiente Salesforce utilizzato dall’azienda. Secondo le informazioni rese pubbliche, i criminali hanno ottenuto accesso ai dati di circa 137.000 account appartenenti a membri del personale scolastico. Le informazioni esposte comprendono nomi, indirizzi email, numeri telefonici, ruoli professionali, indirizzi fisici, nomi utente e ticket di supporto. L’azienda ha sottolineato che non risultano compromessi sistemi contenenti informazioni sugli studenti, elemento che riduce significativamente l’impatto potenziale dell’incidente.
Salesforce continua a essere un bersaglio privilegiato
L’attacco a Infinite Campus evidenzia ancora una volta l’interesse dei gruppi criminali verso gli ambienti Salesforce, ormai diventati una delle principali superfici di attacco per campagne orientate al furto di dati aziendali. Gli ambienti CRM contengono infatti grandi quantità di informazioni centralizzate e spesso rappresentano punti di accesso privilegiati a processi amministrativi e relazioni professionali. Infinite Campus ha comunicato di aver notificato rapidamente gli istituti coinvolti e di aver identificato il gruppo responsabile come un’organizzazione già nota per precedenti campagne contro piattaforme Salesforce. Anche in questo caso, il valore dei dati sottratti non risiede tanto nelle informazioni sensibili quanto nella possibilità di utilizzarle per future campagne di phishing, social engineering e furti di identità.
Un insider viene condannato per due anni di attacchi
In parallelo agli attacchi esterni, emerge anche un caso emblematico di insider threat. Ezekiel Dean Potter, ex specialista del supporto IT presso il Saydel Community School District dell’Iowa, è stato condannato a 21 mesi di carcere per aver condotto una lunga serie di attacchi informatici contro il proprio ex datore di lavoro dopo aver lasciato l’azienda. Secondo gli investigatori, Potter ha mantenuto accessi non autorizzati ai sistemi scolastici per oltre 21 mesi, utilizzandoli per sabotare infrastrutture digitali e interrompere servizi essenziali. Tra le azioni contestate figurano la cancellazione della pagina Facebook del distretto, la rimozione degli accessi a piattaforme educative, la cancellazione di account utente e la compromissione di sistemi gestiti tramite Apple School Manager.
L’attacco ha colpito piattaforme educative critiche
Le attività dell’ex dipendente hanno coinvolto anche il sistema di gestione dell’apprendimento Schoology, dove sarebbero stati eliminati account appartenenti al personale IT e ai dirigenti scolastici. L’indagine ha ricostruito le attività grazie all’analisi degli indirizzi IP utilizzati e al ritrovamento di una chiavetta USB contenente credenziali appartenenti al distretto. Potter ha infine accettato un accordo giudiziario riconoscendo la violazione del Computer Fraud and Abuse Act, una delle principali normative federali statunitensi contro i reati informatici. Oltre alla pena detentiva, il tribunale ha disposto il pagamento di oltre 59.000 dollari a titolo di risarcimento per i danni causati.
Oxford conferma un nuovo data breach nel 2026
Anche l’Università di Oxford è stata costretta a gestire un incidente di sicurezza significativo. L’ateneo britannico ha comunicato che la piattaforma CareerConnect, utilizzata per attività di orientamento professionale e relazioni con alumni e datori di lavoro, è stata compromessa il 28 maggio 2026. Il sistema è gestito dal fornitore esterno Group GTI, circostanza che evidenzia ancora una volta il ruolo crescente delle terze parti nelle moderne catene di fornitura digitali. Secondo quanto comunicato dall’università, gli aggressori hanno ottenuto accesso a nomi, cognomi, indirizzi email e password crittografate di una parte degli utenti registrati.
Le credenziali restano il bersaglio principale
Oxford ha specificato che gli account coinvolti appartenevano principalmente ad alumni, personale di ricerca e datori di lavoro esterni che non utilizzavano sistemi di autenticazione Single Sign-On. Le password interessate sono state invalidate immediatamente e gli utenti sono stati invitati a procedere con la reimpostazione delle credenziali. L’università ha inoltre precisato che non risultano compromessi dati relativi a corsi, documenti caricati, appuntamenti o informazioni finanziarie. Le evidenze raccolte suggeriscono che l’obiettivo principale dell’attacco fosse il furto di credenziali utilizzabili in successive campagne di phishing o tentativi di compromissione di altri servizi. Il caso assume particolare rilevanza perché rappresenta il secondo data breach comunicato dall’università nel corso del 2026 dopo il precedente incidente che aveva coinvolto la piattaforma Canvas.
Educazione e istituzioni restano bersagli privilegiati
Gli episodi emersi negli ultimi giorni mostrano come il settore educativo e le grandi organizzazioni istituzionali continuino a rappresentare obiettivi estremamente appetibili per il cybercrime. Da un lato operano gruppi di estorsione come ShinyHunters, capaci di colpire organizzazioni internazionali e fornitori di servizi scolastici attraverso campagne orientate al furto massivo di dati. Dall’altro persistono minacce interne derivanti da ex dipendenti che mantengono accessi non autorizzati e sfruttano la propria conoscenza dei sistemi per condurre attività di sabotaggio. In entrambi i casi emerge un elemento comune: la gestione degli accessi e delle identità digitali continua a rappresentare uno dei punti più critici nella sicurezza delle organizzazioni moderne.
Lezioni per la sicurezza di scuole e università
I casi che coinvolgono Council of Europe, Infinite Campus, Oxford e il distretto scolastico dell’Iowa evidenziano l’importanza di adottare controlli rigorosi sulle credenziali, monitoraggi continui degli accessi privilegiati e procedure efficaci per la revoca degli account al termine dei rapporti di lavoro. Allo stesso tempo, le organizzazioni che dipendono da piattaforme cloud e fornitori esterni devono rafforzare le attività di verifica della propria supply chain digitale, poiché una parte crescente degli incidenti nasce proprio da compromissioni che avvengono al di fuori dell’infrastruttura principale. In un contesto dove dati personali, informazioni amministrative e credenziali rappresentano asset di grande valore, la combinazione di attori criminali esterni e minacce interne continua a costituire una delle sfide più complesse per la sicurezza informatica contemporanea.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
