Cyber attacks are now the order of the day in our country.
On 20 October 2021, the Italian Society of Authors and Publishers (SIAE) was recently hit by a cyberattack from the Everest group, which stole 60GB of files containing data on artists and employees, including ID cards, addresses, contracts, and bank accounts.
The hacker group, already known to have launched an attack against the US government in previous weeks, is based in Russia but operates a global network of affiliates, recruited through proposals for collaboration submitted via the Onion website.
The modus operandi is as follows: A ransomware attack (such as the one perpetrated in this case) involves infecting the device with malware, which restricts access to the files contained on the device. A ransom (ransom) is then demanded to be paid to remove the restriction, which may consist of locking the system or encrypting the user’s files, rendering them virtually unreadable.
In this case, the cybercriminals demanded a ransom of three million euros in bitcoins to prevent the stolen data from being passed on to the highest bidder. The president of the SIAE ruled out the possibility of the ransom being paid. Soon after, some of the ‘exfiltrated’ data were reportedly put up for sale on the dark web for USD 500,000. The hackers also contacted individual artists and demanded a ransom in bitcoin.
Following the attack, SIAE notified the Data Protection Authority of the breach of its servers due to a hacker attack with extortionate purposes, in compliance with Article 33 of the GDPR (entitled “notification of a personal data breach to the supervisory authority”), which states: ” In the event of a personal data breach, the controller shall notify the breach to the competent supervisory Authority pursuant to Article 55 without undue delay and, where feasible, within 72 hours after having become aware of it, unless the personal data breach is unlikely to present a risk to the rights and freedoms of natural persons. If the notification to the supervisory Authority is not made within 72 hours, it shall be accompanied by the reasons for the delay.”
The Authority, therefore, issued a press release on 21 October 2021, confirming the receipt of the notification of the data breach by the Company, the opening of the investigation, and the initiation of the appropriate investigations aimed at identifying the causes of the attack.
****
PRIVACY E ATTACCHI CYBER: IL CASO DELLA SIAE
Gli attacchi cyber sono ormai all’ordine del giorno nel nostro Paese.
Di recente, il 20 ottobre 2021, la Società Italiana degli Autori ed Editori (SIAE), è stata colpita da un attacco cyber da parte del Gruppo Everest, che ha sottratto ben 60 GB di file contenenti dati di artisti e dipendenti, tra cui carte d’identità, indirizzi, contratti e conti bancari.
Il gruppo di hacker, già noto per aver promosso un attacco nelle settimane precedenti contro il governo statunitense, è stanziato in Russia ma gestisce una rete di affiliati su scala globale, arruolati tramite proposte di collaborazione sottoposte attraverso il sito Onion.
Il modus operandi è il seguente: l’attacco di tipo ransomware (come quello perpetrato nel caso di specie), prevede l’infezione del device attraverso un malware, che limita l’accesso ai file contenuti nel dispositivo. Successivamente, viene chiesto un riscatto (ransom in inglese) da pagare per rimuovere la limitazione, che può consistere nel blocco del sistema oppure nella cifratura dei file dell’utente, resi praticamente illeggibili.
In questo caso, i cybercriminali hanno chiesto un riscatto pari a tre milioni di euro in bitcoin per impedire la diffusione al miglior offerente dei dati sottratti. Il Presidente della SIAE ha escluso la possibilità che il riscatto fosse pagato. Subito dopo, una parte dei dati “esfiltrati” sarebbero stati messi in vendita sul dark web per 500 mila dollari. Peraltro, gli hacker avrebbero anche contattato i singoli artisti, chiedendo un riscatto in bitcoin.
A seguito dell’attacco, la SIAE ha notificato al Garante per la protezione dei dati personali la violazione dei suoi server a causa di un attacco hacker con finalità estorsive, in osservanza dell’art. 33 del GDPR (rubricato “notifica di una violazione di dati personali all’autorità di controllo”), ove si prevede che: “ In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo”.
L’Autorità, quindi, il 21 ottobre 2021, ha diffuso un comunicato stampa, confermando la ricezione della notifica del data breach da parte della Società, l’apertura dell’istruttoria e l’avvio delle opportune indagini volte ad individuare le cause dell’attacco.