Negli ultimi anni, il panorama della sicurezza informatica ha assistito a un’escalation senza precedenti nella frequenza e gravità degli attacchi. Tra il 2024 e la prima metà del 2025, si è registrato un incremento significativo di violazioni di alto profilo che hanno compromesso dati sensibili di milioni di utenti, paralizzando aziende, enti pubblici e infrastrutture critiche a livello globale.
Il presente articolo si propone di analizzare i principali casi di data breach verificatisi in questo periodo, esaminando le vulnerabilità sfruttate dagli attaccanti e le lezioni fondamentali che ne derivano. L’obiettivo è fornire spunti cruciali per rafforzare la sicurezza e la resilienza informatica in un contesto digitale in continua evoluzione.
Change Healthcare: un caso emblematico
Nel febbraio 2024, Change Healthcare, colosso dei pagamenti e servizi sanitari negli Stati Uniti, ha subito un attacco ransomware che ha paralizzato il sistema sanitario nazionale per settimane. L’attacco, rivendicato dal gruppo ALPHV/BlackCat, ha compromesso milioni di dati sanitari e provocato ritardi nelle prescrizioni mediche e nei rimborsi assicurativi.
Oltre alla portata tecnica, l’incidente ha evidenziato l’importanza della segmentazione delle reti, del backup sicuro e della gestione efficace delle patch. La catena di approvvigionamento sanitaria ha subito danni economici rilevanti e ha richiesto mesi per un ritorno alla normalità.
23andMe: quando il bersaglio sono i dati genetici
Il noto servizio di test genetici 23andMe è stato colpito nel tardo 2023 da una violazione dei dati che ha avuto ripercussioni nel 2024, con la diffusione di milioni di profili genealogici e informazioni su predisposizioni mediche. La tecnica usata è stata il credential stuffing: gli aggressori hanno riutilizzato combinazioni di email e password rubate da altre violazioni, sfruttando la mancanza dell’autenticazione a due fattori.
Questo caso ha sollevato interrogativi profondi sulla tutela della privacy e sulla sicurezza delle informazioni biometriche, evidenziando come anche dati apparentemente “non economici” siano estremamente preziosi e vulnerabili.
Ticketmaster e le infiltrazioni nelle infrastrutture cloud
Nel 2024 anche Ticketmaster è finita nel mirino degli hacker, che hanno sottratto i dati di 560 milioni di utenti. Il furto è avvenuto tramite una vulnerabilità nell’infrastruttura cloud AWS, sfruttata dal gruppo criminale ShinyHunters. Tra le informazioni esfiltrate figurano email, numeri di telefono, dettagli di pagamento e cronologia degli acquisti.
Questo episodio ha riacceso l’attenzione sulla shared responsibility nel cloud: molte aziende sottovalutano le misure di sicurezza che restano a loro carico, lasciando esposte intere architetture digitali.
Cosa possiamo imparare da questi attacchi?
Gli eventi che hanno segnato gli ultimi 18 mesi offrono lezioni cruciali per rafforzare la sicurezza informatica di qualsiasi organizzazione. Questi attacchi di alto profilo evidenziano la necessità di adottare un approccio proattivo e multidimensionale alla protezione dei dati.
In particolare, emergono quattro insegnamenti fondamentali:
• L’identità digitale è il nuovo perimetro: Con la crescente adozione del lavoro da remoto e dei servizi cloud, il tradizionale perimetro di rete è scomparso. La protezione delle credenziali e l’implementazione di autenticazione a più fattori (MFA) sono diventate la prima e più critica linea di difesa contro gli accessi non autorizzati.
• La visibilità sui sistemi è cruciale: Non si può proteggere ciò che non si vede. L’adozione di soluzioni avanzate per la gestione dei log, l’analisi comportamentale degli utenti e dei sistemi (UEBA) e i sistemi di rilevamento delle anomalie (IDS/IPS) è indispensabile per identificare tempestivamente le intrusioni e rispondere in modo efficace prima che possano causare danni significativi.
• I dati devono essere protetti sempre: La sicurezza dei dati non può essere limitata a un singolo punto. È essenziale implementare tecniche di cifratura robuste e controlli di accesso granulari sia per i dati in transito (durante la trasmissione) che per quelli a riposo (archiviati), garantendo la loro integrità e riservatezza in ogni fase del ciclo di vita.
• La formazione è imprescindibile: La tecnologia da sola non basta. Il fattore umano rimane uno degli anelli più deboli della catena di sicurezza. È vitale investire in programmi di formazione continui per dipendenti e utenti, sensibilizzandoli sui rischi legati a phishing, social engineering, password deboli e altre minacce comuni, trasformandoli in una risorsa attiva nella difesa cyber.
