Una violazione a forma di idra centrata su un singolo produttore di software americano ha compromesso i dati di circa 600 organizzazioni in tutto il mondo, secondo i calcoli degli analisti informatici confermati da Reuters.

Ma più di due mesi dopo che la violazione è stata rivelata per la prima volta da Progress Software, con sede nel Massachusetts, la sfilata delle vittime non è affatto rallentata. I calcoli mostrano che finora quasi 40 milioni di persone sono state colpite dall'hack del programma di gestione dei file MOVEit Transfer di Progress. Ora gli estorsori digitali coinvolti, un gruppo chiamato "cl0p", sono diventati sempre più aggressivi nel rendere pubblici i loro dati.

"Siamo solo nella fase molto, molto iniziale di questo fenomeno", ha dichiarato Marc Bleicher, Chief Technology Officer della società di risposta agli incidenti Surefire Cyber. "Penso che inizieremo a vedere il vero impatto e le ricadute lungo la strada".

MOVEit viene utilizzato dalle organizzazioni per spedire grandi quantità di dati spesso sensibili: informazioni sulla pensione, numeri di previdenza sociale, cartelle cliniche, dati di fatturazione e simili. Poiché molte di queste organizzazioni gestivano i dati per conto di altri, che a loro volta ottenevano i dati da terzi, l'hack si è esteso a spirale in modi talvolta contorti.

Per esempio, quando cl0p ha sovvertito il software MOVEit utilizzato da un'azienda chiamata Pension Benefit Information, specializzata nella localizzazione dei familiari superstiti dei titolari di fondi pensione, ha ottenuto l'accesso ai dati della Teachers Insurance and Annuity Association of America, con sede a New York, che a sua volta gestisce i programmi pensionistici di 15.000 clienti istituzionali, molti dei quali hanno trascorso le ultime settimane a notificare ai dipendenti la loro esposizione.

"C'è questo effetto domino", ha detto John Hammond di Huntress Security, uno dei primi ricercatori che ha iniziato a seguire la violazione.

Le violazioni da parte di gruppi come Cl0p si verificano con una regolarità insensibile. Ma la varietà delle vittime della compromissione di MOVEit, dagli studenti delle scuole pubbliche di New York agli autisti della Louisiana ai pensionati della California, ne ha fatto uno degli esempi più visibili di come una singola falla in un software oscuro possa innescare un disastro globale per la privacy.

Christopher Budd, esperto di cybersicurezza dell'azienda britannica Sophos, ha detto che la violazione ha ricordato quanto le organizzazioni siano interdipendenti dalle rispettive difese digitali.

Progress ha dichiarato di essere stata vittima di "un gruppo di criminali informatici avanzato e persistente" e di essersi concentrata sul supporto ai suoi clienti.

'MIGLIAIA DI AZIENDE'

La campagna di hacking di Cl0p è iniziata il 27 maggio, secondo due persone che hanno familiarità con le indagini di Progress.

Progress si è accorta della compromissione il giorno successivo, quando un cliente ha avvertito l'azienda di un'attività anomala, hanno detto queste fonti. Il 30 maggio l'azienda ha inviato un avvertimento e il giorno successivo ha emesso una "patch", o riparazione, che ha parzialmente sventato la campagna degli hacker.

"Molte organizzazioni sono state in grado di distribuire la patch prima che potesse essere sfruttata", ha dichiarato Eric Goldstein, funzionario senior dell'Agenzia statunitense per la sicurezza informatica e delle infrastrutture.

Non tutte le organizzazioni sono state così fortunate. I dettagli sulla quantità di materiale rubato o sul numero di organizzazioni colpite non sono disponibili pubblicamente, ma Nathan Little, la cui azienda Tetra Defense ha risposto a decine di incidenti legati a MOVEit, ha stimato che la violazione ha probabilmente interessato migliaia di aziende.

"Forse non sapremo mai il numero esatto e dettagliato", ha detto.

Alcuni analisti hanno cercato di tenere il conto. A partire da domenica, la società di cybersicurezza Emsisoft aveva totalizzato 597 vittime con 39,7 milioni di persone colpite.

Lo specialista informatico tedesco Bert Kondruss ha elaborato cifre simili, che Reuters ha corroborato effettuando un controllo incrociato con le dichiarazioni pubbliche, i documenti aziendali e i post di cl0ps.

CHI È STATO ESPOSTO?

Le organizzazioni educative - college, università e persino le scuole pubbliche di New York - hanno rappresentato un quarto delle vittime, con Emsisoft e Kondruss che ne hanno contate più di 100 solo negli Stati Uniti.

L'esposizione è andata ben oltre il mondo accademico.

Guida un'auto? Le autorità automobilistiche della Louisiana e dell'Oregon hanno rivelato collettivamente la compromissione di circa 9 milioni di record. In pensione? Organizzazioni di gestione delle pensioni come il California Public Employees' Retirement System e T. Rowe Price sono state violate tramite Pension Benefit Information. La violazione presso l'appaltatore governativo statunitense Maximus, da sola, ha portato alla compromissione di un numero di dati compreso tra 8 e 11 milioni di persone.

Un tenue lato positivo? Gli hacker potrebbero aver ingerito troppi dati per rilasciarli tutti.

Alexander Urbelis, avvocato senior dello studio legale Crowell & Moring di New York, che ha aiutato le vittime a valutare la loro esposizione al drago degli hacker, ha detto che la velocità di download straordinariamente lenta del sito web darknet scricchiolante degli hacker "ha reso praticamente impossibile per chiunque" - con buone intenzioni o meno - "accedere ai dati rubati".

Goldstein, il funzionario statunitense, ha detto che "in molti casi" i dati devono ancora essere divulgati.

Cl0p, che non ha risposto ai messaggi di Reuters, sembra stia cercando di migliorare il suo gioco. Alla fine del mese scorso ha creato siti web specificamente destinati a diffondere meglio i dati rubati. All'inizio di questa settimana ha iniziato a condividere i dati tramite reti peer-to-peer.

Questa è una cattiva notizia per le vittime, ha detto Bleicher di Surefire.

"Una volta che questi dati iniziano a trapelare lentamente, si fanno vedere di più nella clandestinità", ha detto. L'impatto della violazione, a sua volta, "probabilmente diventerà molto più grande di quanto pensiamo ora". (Relazioni di Raphael Satter e Zeba Siddiqui; Redazione di Chris Sanders e Grant McCool)