Mimecast Logo
Richiedi un preventivo
    Approfondimenti sulla Cyber Resilience
    Tutti gli argomenti
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Security Awareness Training

    Human Risk Roundup: Una fuga di notizie, uno zero-day, un divieto e una violazione

    Le minacce continuano a colpire i professionisti della cybersecurity da tutte le angolazioni

    by Renatta Siewert
    roundup-Blog.jpg

    Key Points

    • Un dipendente di DOGE ha accidentalmente esposto una chiave API privata per i grandi modelli linguistici di xAI su GitHub.
    • Microsoft rilascia una patch di emergenza per una vulnerabilità critica di SharePoint Server.
    • Il governo britannico intende vietare alle organizzazioni del settore pubblico e delle infrastrutture critiche di pagare riscatti alle bande di ransomware.
    • Louis Vuitton subisce una violazione della rete interna dell'azienda, con conseguente furto di informazioni sui clienti.

    In questa edizione dell'Human Risk Roundup, esploriamo alcuni recenti eventi di cronaca che evidenziano come le minacce continuino a colpire i team di cybersecurity da ogni angolazione. Con le falle nella sicurezza che si verificano ai più alti livelli governativi, i prodotti legacy affidabili come SharePoint Server che continuano ad essere sfruttati con nuove vulnerabilità, il potenziale nuovo divieto di pagamento dei ransomware nel Regno Unito che potrebbe richiedere nuovi rapporti da parte delle organizzazioni e i marchi famosi che continuano a cadere vittime di violazioni, i professionisti della cybersicurezza continuano a trovarsi tirati in troppe direzioni. Scopra come le ultime novità in materia di rischio umano potrebbero avere un impatto sulla sua organizzazione.

    L'abitante di DOGE Marko Elez ha fatto trapelare la chiave API per xAI

    Marko Elez, un dipendente del DOGE, ha accidentalmente esposto una chiave API privata per i modelli linguistici di grandi dimensioni di xAI su GitHub, sollevando preoccupazioni sulla sicurezza operativa e sul suo accesso a database governativi sensibili. Nonostante la chiave sia stata segnalata e il repository rimosso, la chiave rimane attiva, evidenziando la negligenza sistemica e le lacune nella sicurezza all'interno dell'organizzazione.

    Cosa è successo

    La chiave API privata di xAI, la società di AI di Elon Musk, che è stata esposta da Elez su GitHub, ha consentito l'accesso a oltre 50 modelli linguistici di grandi dimensioni, tra cui l'ultimo "grok-4-0709," utilizzato nel chatbot di AI generativa di xAI, Grok. La fuga di notizie è stata segnalata da GitGuardian, un'azienda specializzata nel rilevamento di segreti esposti, ma la chiave non è ancora stata revocata.

    Elez ha una storia controversa, tra cui precedenti violazioni della sicurezza e accuse di razzismo, ma è stato reintegrato al DOGE grazie a un'azione di lobby politica. Questo incidente solleva preoccupazioni sulla sicurezza operativa e sulla gestione dei dati sensibili del governo e dell'AI. 

    Perché è importante

    Si tratta di una lacuna significativa nella cybersecurity. Questa violazione ha consentito l'accesso non autorizzato a 52 LLM, compresi quelli integrati in sistemi sensibili come Grok, utilizzato dal Dipartimento della Difesa. L'incidente sottolinea i rischi delle scarse pratiche di sicurezza operativa, soprattutto quando si gestiscono dati sensibili governativi e legati all'AI. Inoltre, solleva preoccupazioni sulla più ampia cultura della sicurezza all'interno di organizzazioni come il DOGE, viste le ripetute violazioni simili.

    Per il personale addetto alla cybersicurezza, questo serve a ricordare l'importanza di una solida gestione delle chiavi, della scansione segreta pre-commessa e della revoca immediata delle credenziali compromesse. L'evento sottolinea anche la necessità di un controllo e di una formazione più severi per le persone che hanno accesso a sistemi critici.

    Quattro consigli pratici per i leader della sicurezza

    Utilizzi strumenti come GitGuardian per scansionare i repository di codice alla ricerca di segreti esposti, come ad esempio le chiavi API, prima che vengano committati.

    Si assicuri che le chiavi API non siano codificate in modo fisso negli script e che siano conservate in modo sicuro.

    Formare tutto il personale con accesso ai sistemi sensibili sull'importanza della sicurezza operativa, compresa la gestione delle informazioni classificate.

    Affronti le ripetute falle nella sicurezza come segni di problemi sistemici, piuttosto che di errori isolati.

    Per saperne di più sulla fuga di notizie.

    La correzione di Microsoft mira agli attacchi su SharePoint zero-day

    Microsoft ha rilasciato una patch di emergenza per una vulnerabilità critica di SharePoint Server (CVE-2025-53770) attivamente sfruttata dagli hacker per violare agenzie federali statunitensi, università e aziende energetiche. La falla, che consente agli aggressori di installare una backdoor chiamata "ToolShell" per l'accesso remoto, richiede un'azione immediata oltre alla patch, compresa la rotazione delle chiavi della macchina e l'isolamento dei server interessati.

    Cosa è successo

    Il 20 luglio 2025, Microsoft ha rilasciato un aggiornamento di sicurezza di emergenza per risolvere una vulnerabilità critica in SharePoint Server, che è stata attivamente sfruttata dagli hacker. La vulnerabilità è una variante di un problema precedentemente patchato, ma la correzione precedente era incompleta, lasciando i sistemi esposti. I ricercatori hanno scoperto uno sfruttamento diffuso della falla, con gli aggressori che hanno rubato le chiavi macchina ASP.NET per facilitare ulteriori attacchi.

    Microsoft ha rilasciato patch per alcune versioni di SharePoint, ma sta ancora lavorando sugli aggiornamenti per altre, esortando le organizzazioni a prendere misure protettive immediate. Il CISA raccomanda di attivare la scansione anti-malware, di distribuire Microsoft Defender e di isolare i server interessati da Internet.

    Perché è importante

    Si tratta di un problema critico di cybersicurezza che coinvolge una vulnerabilità zero-day che sottolinea l'importanza di una gestione tempestiva delle patch, poiché le correzioni iniziali di Microsoft erano insufficienti. I team di cybersecurity devono agire rapidamente applicando le patch più recenti, ruotando le chiavi delle macchine e implementando difese aggiuntive come la scansione anti-malware e la disconnessione dei server vulnerabili.

    L'incidente sottolinea anche la necessità di un monitoraggio proattivo delle minacce, in quanto gli aggressori stanno sfruttando le vulnerabilità precedentemente patchate nelle catene di exploit. Questo serve a ricordare la natura in evoluzione delle minacce informatiche e la necessità di una vigilanza continua e di misure di sicurezza stratificate.

    Quattro consigli pratici per i leader della sicurezza

    Si assicuri che tutti i sistemi SharePoint Server siano aggiornati con le ultime patch fornite da Microsoft.

    Ruota le chiavi macchina ASP.NET del server SharePoint e riavvia IIS su tutti i server SharePoint.

    Attivi l'interfaccia di scansione anti-malware (AMSI) in SharePoint e distribuisca Microsoft Defender Antivirus su tutti i server SharePoint per migliorare le capacità di rilevamento e prevenzione.

    Disconnetta i server SharePoint interessati dalla rete Internet pubblica fino a quando non saranno completamente patchati e protetti.

    Per saperne di più sull'attacco.

    Il Regno Unito vieta agli enti del settore pubblico di pagare le bande di ransomware

    Il governo britannico intende vietare alle organizzazioni del settore pubblico e delle infrastrutture critiche, tra cui i consigli locali e l'NHS, di pagare riscatti alle bande di ransomware, per interrompere il modello di business dei criminali informatici e proteggere i servizi essenziali. Inoltre, le aziende che non rientrano nel campo di applicazione del divieto devono informare il governo prima di effettuare pagamenti di riscatti, e si sta sviluppando un sistema di segnalazione obbligatoria per aiutare le forze dell'ordine a rintracciare gli aggressori e a sostenere le vittime.

    Cosa succederà

    Questa misura mira a sconvolgere il modello di business dei criminali informatici e a ridurre l'attrattiva di prendere di mira servizi pubblici vitali. Anche le aziende che non rientrano nel campo di applicazione del divieto dovranno informare il governo tramite il nuovo sistema di segnalazione obbligatoria prima di effettuare qualsiasi pagamento di riscatto.

    La speranza è che questo garantisca il rispetto delle leggi contro il finanziamento di gruppi sanzionati. La decisione segue una consultazione pubblica all'inizio di quest'anno, che ha evidenziato come il ransomware sia la più grande minaccia al crimine informatico del Regno Unito e un rischio per la sicurezza nazionale. I recenti attacchi ransomware di alto profilo a organizzazioni come l'NHS e Marks & Spencer sottolineano l'urgenza di queste misure.

    Perché è importante

    Il personale addetto alla sicurezza informatica deve adattarsi a questo cambiamento, concentrandosi sulla prevenzione, sulla risposta agli incidenti e sulle strategie di recupero, poiché il pagamento dei riscatti non sarà più un'opzione. Il sistema di segnalazione obbligatoria che accompagna il divieto fornirà alle forze dell'ordine dati preziosi per rintracciare gli aggressori e sostenere le vittime.

    Questa mossa sottolinea il crescente riconoscimento del ransomware come minaccia alla sicurezza nazionale, che richiede difese solide e collaborazione tra i settori pubblico e privato. Per i team che si occupano di cybersecurity, questo cambiamento di politica evidenzia la necessità di misure proattive e di pianificazione della resilienza per mitigare i rischi operativi e finanziari.

    Quattro consigli pratici per i leader della sicurezza

    Dare priorità a misure di cybersecurity solide, come aggiornamenti regolari dei sistemi, formazione dei dipendenti e sistemi avanzati di rilevamento delle minacce.

    Implementare un sistema di segnalazione obbligatoria degli incidenti di ransomware alle forze dell'ordine.

    Si allinei alle politiche che scoraggiano il pagamento di riscatti ai criminali informatici e si concentri invece sulle strategie di recupero e si assicuri che i backup siano sicuri e non manomessi.

    Chieda consiglio agli enti governativi quando prende in considerazione azioni come il pagamento di un riscatto, soprattutto per evitare di violare le leggi relative ai gruppi sanzionati.

    Per saperne di più sul divieto.

    Louis Vuitton conferma la violazione dei dati in Australia dopo le molteplici violazioni avvenute altrove

    Louis Vuitton ha subito una violazione dei dati il 2 luglio 2025, compromettendo i dati personali sensibili, compresi i nomi e le informazioni di contatto, dei clienti australiani, nonché dei clienti di Hong Kong, Turchia, Corea del Sud e Regno Unito. Sebbene la violazione abbia interessato oltre 419.000 persone a livello globale, l'azienda ha confermato che non sono state compromesse informazioni finanziarie o password e ha adottato misure per contenere l'incidente e collaborare con le autorità.

    Cosa è successo

    La violazione ha comportato un accesso non autorizzato alla rete interna dell'azienda, con conseguente furto di informazioni sui clienti, come nomi, dettagli di contatto e altri dati personali. Tuttavia, Louis Vuitton ha confermato che nessuna informazione finanziaria, come i dati delle carte di credito o dei conti bancari, è stata compromessa.

    L'azienda ha adottato misure tecniche immediate per contenere la violazione e sta collaborando con le autorità, compresa la notifica agli enti regolatori della privacy, come l'Ufficio del Commissario per la privacy dei dati personali di Hong Kong. Louis Vuitton ha rassicurato i clienti sul suo impegno ad affrontare il problema e a prevenire incidenti futuri.

    Perché è importante

    La violazione dei dati di Louis Vuitton mette in evidenza le sfide critiche per il personale della cybersecurity, sottolineando l'importanza di difese solide contro l'accesso non autorizzato a informazioni sensibili. Questo incidente sottolinea la crescente sofisticazione dei criminali informatici e la necessità di misure proattive per rilevare e mitigare le minacce prima che si intensifichino.

    Per i team di cybersecurity, la violazione serve a ricordare l'importanza di una risposta rapida agli incidenti, come dimostrano gli sforzi di contenimento di Louis Vuitton e la collaborazione con le autorità. Inoltre, la portata globale della violazione evidenzia la necessità di rispettare le diverse normative sulla protezione dei dati nelle varie giurisdizioni. 

    Quattro consigli pratici per i leader della sicurezza

    Monitorare regolarmente le reti interne alla ricerca di accessi non autorizzati e di attività insolite, per individuare precocemente le violazioni.

    Si assicuri che siano in atto misure tecniche per contenere immediatamente le violazioni, come il blocco degli accessi non autorizzati.

    Informare tempestivamente i clienti interessati e le autorità competenti, fornendo informazioni chiare sulla violazione e sulle misure adottate.

    Rivedere e aggiornare periodicamente i protocolli di sicurezza per affrontare le vulnerabilità, soprattutto considerando gli incidenti ripetuti in più regioni.

    Per saperne di più sulla violazione.

    32BLOG_1.jpg
    Up Next
    Security Awareness Training |
    4 motivi per cui la formazione sulla sicurezza basata sui ruoli non è più un'unica misura per tutti

    Related Articles

    Security Awareness Training
    Come misurare l'Human Risk: 7 metriche chiave
    Security Awareness Training
    Semplificare le strategie di cybersecurity: Il ruolo dell'Human Risk Management
    Security Awareness Training
    Riassunto dei rischi per gli esseri umani: Bombe via e-mail, attacchi basati sul browser e aziende di droni

    Si abboni a Cyber Resilience Insights per altri articoli come questi.

    Riceva tutte le ultime notizie e le analisi del settore della cybersecurity direttamente nella sua casella di posta elettronica.

    Iscriviti con successo

    Grazie per essersi iscritto per ricevere gli aggiornamenti del nostro blog

    Ci terremo in contatto!

    Back to Top