I dati pubblicati riferiscono a due dipartimenti specifici: l'Ufficio del Personale e quello della Finanza. Tra i dati pubblicati si trovano dati sensibili e personali come informazioni riguardo a profili dei dipendenti e dei candidati poer l'assunzione, informazioni sulla strutturazione interna delle risorse umane, proiezioni di mercato, stime di crescita, budget e così via.

Il rinvenimento di questi dati nel dark web ha confermato ben due questioni ancora poco chiare: se gli attaccanti fossero riusciti o meno a rubare i dati prima di tentare di criptare tutta la rete aziendale e se Luxottica avesse o meno avviato trattative. I dati rubati ci sono e sono online, mentre la loro pubblicazione conferma (verosimilmente) che Luxottica non ha avviato alcuna trattativa con gli attaccanti oppure ha deciso di non pagare il riscatto.

Non solo dati finanziari e dell'uficio del personale: rubati dati sanitari
Qualche giorno fa è arrivata una ulteriore conferma, ovvero l'esposizione di dati sensibili di tipo sanitario per i pazienti di LensCrafters, Target Optical, EyeMed: Luxottica infatti gestisce anche la società EyeMed che collabora, nei propri punti vendita, con ottici professionisti collegati alle aziende sopra menzionate. Questi partner hanno tutti accesso ad un'applicazione web based per pianificare gli appuntamenti online e via telefono.

Così Luxottica si è trovata, a distanza di oltre un mese dall'attacco, a dover inviare notifiche di violazione a tutti coloro che sono stati riguardati dal breach, informando che potrebbero essere stati vilolati dati come nome completo, informazioni di contatto, date e orari di appuntamenti, numeri di polizze assicurative, prescrizioni, condizioni di salute e così via. Luxottica si è anche offerta, come è ormai consuentudine dopo certi tipi di attacchi, di offrire ai clienti riguardati dall'incidente per due anni, a titolo gratuito, un servizio di monitoraggio di eventuali furti d'identità.

"Consigliamo a tutte le persone potenzialmente interessate di prendere provvedimenti per proteggersi, ad esempio monitorando attentamente le comunicazioni dell'assicurazione sanitaria e degli operatori sanitari per eventuali attività impreviste" ha scritto Luxottica, che ha anche creato un sito web specifico per la gestione di questo data breach.

Tutto ciò a ribadire quanto un attacco ransomware non possa considerarsi soltanto un alle infrastrutture aziendali, ma prima di tutto un attacco ai dati sensibili (di clienti, di partner, di collaboratori, di dipendenti ecc..). E' comune per le aziende colpite da ransomware rassicurare i clienti con frasi del tipo "non risultano utilizzi fraudolenti o illeciti dei dati", ma la realtà dei fatti è che le aziende vittime di attacco non possono saperlo, fino a che questi dati non vengono pubblicati a piccole dosi in forma di ricatto o messi direttamente in vendita nel dark web a scopo di profitto. Anzi, l'evoluzione del mondo dei ransomware rafforza il punto: sempre più ransomware (anche in collaborazione con malware come TrickBot o Emotet) mirano ai dati presenti in rete PRIMA della criptazione, garantendosi così molti dati sensibli, uno strumento di ricatto ulteriore ed una eventuale fonte di profitto in caso di rivendita di identità digitali.