Ne abbiamo sentito parlare tutti, è rimbalzato sui principali media italiani ma anche Europei: il gruppo di attaccanti Everest ha fatto irruzione nei sistemi informatici della SIAE rubando, anzi tecnicamente parlando è più corretto dire esfiltrando, i dati personali di dipendenti, dirigenti e ovviamente, artisti.

Come puntualizzato in seguito, quello contro SIAE non è stato un attacco di tipo ransomware visto che gli attaccanti non hanno proceduto a criptare i dati: i dati sono raggiungibili ma sono stati pubblicati a piccole dosi nel sito che il gruppo Everest utilizza per le estorsioni. 60 GB i dati rubati, un totale di 28.000 documenti, per i quali era stato richiesto, in prima battuta un riscatto di 3 milioni di euro, sceso poi a 500.000. Ora i dati sono in vendita per 300.000 dollari, ma gli attaccanti si sono rivolti ad ulteriori attori di minacce invitandoli a comprare i dati per organizzare ricatti contro le celebrità italiane.

I dati esfiltrati
La SIAE ha pubblicato la prima dichiarazione sui fatti il 21 ottobre, specificando che:
"SIAE, sulla base delle evidenze ad oggi raccolte, informa i propri associati, mandanti, dipendenti, utilizzatori del repertorio che un gruppo criminale ha effettuato la copia di taluni file presenti nel sistema documentale della Società, prevalentemente file pdf".

La nota prosegue elencando la tipologia di dati rubati, ovvero:

• dati anagrafici;
• dati di contatto (mail, numeri telefonici);
• dati bancari (IBAN);
• dati riportati su documenti di identità;
• dati riportati sui moduli di adesione a SIAE relativi prevalentemente agli anni 2019 e 2020.

Uno dei documenti di identità finiti in vendita nel dark web

L'estorsione si estende agli artisti
Mentre sono in corso le indagini per capire come sia avvenuta l'irruzione e chi l'abbia compiuta, alcune persone riguardate dal data breach hanno iniziato a ricevere messaggi di phishing volti al furto dei dati finanziari:

«Sono stato ricattato dieci giorni fa via email da qualcuno che mi chiedeva gli estremi della carta perché c'erano stati dei problemi con i miei dati Siae. Non sono caduto nel tranello e ho fatto bene a non cedere al ricatto: con me non la scampano» ha confermato Al Bano Carrisi, primo artista a riferire di aver avuto pressioni dagli autori dell’attacco informatico al sito della Siae, per evitare di diffondere dati sensibili. Tra i ricattati anche Samuele Bersani, così come sono già centinaia i cantanti e gli artisti che denunciano di aver subito il ricatto: gli attaccantio richiedono 10.000 euro a testa con la "garanzia" di cancellare i dati rubati una volta ricevuto il pagamento.

«Benvenuto nel darkweb, abbiamo tutte le tue informazioni, numero di telefono, indirizzo, Iban, se non vuoi che vengano rese pubbliche paga tramite bitcoin al seguente indirizzo 10mila euro entro e non oltre il 22 ottobre» questo il testo dell'email e dell'SMS che gli attaccanti stanno inviando.

Il Garante avvia l'istruttoria
La SIAE ha adempiuto agli obblighi previsti dal GDPR comunicando (con un pò di ritardo) agli interessati il breach subito, allertando la Polizia Postale, attivando una collaborazione con Leonardo per mettere in sicurezza l'infrastruttura e, ovviamente, allertando il Garante per la Protezione dei dati personali. Garante che, da parte sua, ha avviato quasi immediatamente l'istruttoria: 

"La Società italiana autori ed editori aveva ieri notificato all’Autorità, entro i termini previsti dalla normativa sulla privacy, la violazione dei suoi server a causa di un attacco hacker con finalità estorsive. Il Garante sta in queste ore valutando le informazioni ricevute dalla Società, riservandosi di svolgere gli opportuni approfondimenti" si legge nella nota.