Milano Finanza hackerata, tutti i casini di Miles 33 e della francese Ovh

La comunicazione è collegata “all’incidente di sicurezza che ha riguardato i sistemi infotelematici di Miles 33 s.r.l.”, provider di soluzioni per i media e sistemi informatici per l’editoria che ha tra i suoi clienti anche The International New York Times, The Boston Globe, NSTP, Kompass, The US Supreme Court, White Directories (Hearst), Gannett Directories, Virgin Radio Italy, NRC Media, Al-Hayat, Shell Oil, Diageo, Hyundai ed Emirates.

 “A seguito” dell’incidente, si legge nel comunicato rivolto all’utenza registrata “è stata rilevata una violazione dei dati personali che potrebbe riguardarvi. La società – prosegue la nota – nella propria qualità di Titolare del trattamento dei dati personali oggetto di violazione si avvale di Miles 33 s.r.l. quale Responsabile del trattamento ai sensi dell’art. 28 del Regolamento (UE) 2016/679, per la fornitura del servizio Virtual News Paper (VNP) che consente agli utenti e agli abbonati di fruire dei contenuti digitali compresi nei servizi e prodotti acquistati”.

I fatti risalgono al luglio scorso: “La società fornitrice Miles 33 s.r.l., in data 31 Luglio 2024, ha riscontrato un accesso non autorizzato ai propri sistemi infotelematici che ha comportato la compromissione della riservatezza di dati personali ivi oggetto di trattamento. In particolare, secondo quanto riportato dalla società fornitrice, i sistemi informativi di quest’ultima sono stati vittime di un attacco malevolo di tipo “Ransomware” che ha portato alla cifratura di alcuni server nella propria infrastruttura in OVH.

OVHcloud è tra le principali per dimensioni società di web hosting sul suolo europeo: fornisce server dedicati, domini e servizi di telefonia. Ha sede a Roubaix nel nord della Francia.

Successivamente viene precisato che la società “deposita i giornali in formato .pdf su un server di tipo FTP del fornitore, che successivamente li elabora con i propri sistemi per renderli disponibili agli utenti e sfogliabili tramite app e web dagli stessi. I dati personali di cui la scrivente società è titolare del trattamento e che sono trattati per suo conto dal responsabile del trattamento Miles 33 s.r.l., sono relativi ai soli dati personali anagrafici, di residenza/domicilio e di contatto degli utenti, username e password; l’eventuale perdita di riservatezza non ha riguardato né dati particolari ex art. 9 del GDPR, né carte e/o documenti di identità, né dati di pagamento degli utenti (ad es. dati di carte di credito, dati bancari ecc.), posto che nessuna delle predette tipologie di dati era presente nei server gestiti dal fornitore”.

I consigli sono quelli di buon senso, anche per evitare il rischio phishing, non raro quando malintenzionati rischiano di mettere le mani su simili dati (se un hacker ha l’indirizzo mail di una potenziale vittima e sa che questa è abbonata alla rivista XY, si spaccerà per quella nel tentativo di formulare truffe credibili).

Non è facile trovare notizie sull’intrusione subita alla fine di luglio da Miles33. Secondo le poche informazioni reperibili sul web anche il sito della stessa fornitrice di soluzioni editoriali digitali per la media industry venne oscurato per diverse ore. Tra le testate che avevano reso noto il disservizio che le riguardava: il notiziario.net, lanotiziagiornale.it e lasicilia.it. “Le prime segnalazioni arrivate in redazione da parte degli abbonati, dei colleghi giornalisti e degli addetti ai lavori hanno fatto pensare a un semplice crash informatico”, si legge in un articolo pubblicato sulla testata regionale del 6 agosto scorso.

Successivamente sul Breach Forum un gruppo hacker noto come Alpha Team aveva rivendicato l’azione elencando le testate giornalistiche colpite con la propria irruzione.

“La falla di sicurezza sfruttata da Alpha Team risiede nel Content Management System (CMS) di NavigaGlobal, utilizzato per la gestione dei contenuti di numerosi siti web italiani. Gli hacker hanno individuato una vulnerabilità non risolta che ha permesso loro di effettuare operazioni di injection ed estrarre il contenuto del database del CMS”riportava Cybersecurity360.it ad agosto.

Non è la prima volta che la cyber gang perpetra un attacco nel nostro paese: nel novembre 2023 Alpha Team ha rivendicato infatti l’attacco informatico al sito di Federprivacy, l’associazione italiana dei professionisti della protezione dei dati e il profilo social del presidente Nicola Bernardi.

Nella recente comunicazione fornita da MF e datata il 10 dicembre, la suddetta mette nero su bianco che “La scrivente società non ha, ad oggi, la possibilità di confermare che un’esfiltrazione dei dati personali non ci sia stata, e, pertanto, non è possibile escludere con certezza che la violazione dei dati personali avvenuta potrebbe comportare rischi per la vostra privacy e sicurezza con riferimento ad una eventuale conoscenza degli stessi da parte di terzi non autorizzati”.

In effetti l’esfiltrazione ci sarebbe stata eccome, sempre lasicilia.it riferiva il 6 agosto che “il gruppo di pirati informatici ha anche dichiarato di avere a disposizione i dati di 77 aziende italiane, tra i quali email, password e altri dati personali. A dimostrazione di ciò i cyber criminali hanno inviato notifiche push e e-mail agli abbonati per informarli di aver in mano i dati sensibili”.