Lo stadio di San Siro a Milano
Bologna, 30 novembre 2024 – Un uno-due devastante al mondo del calcio italiano. I pirati digitali, dopo aver bucato le difese digitali del Bologna, pubblicando sul dark web migliaia di documenti, tra cui i contratti di giocatori e sponsor, avrebbero spento le cyber-luci a San Siro. Ad aver espugnato la M-I Stadio Srl sarebbe stata Bashe, un gruppo criminale specializzato in ricatti informatici, le cosiddette ransomware gang, esploso nei mesi scorsi. Il condizionale è d’obbligo perché manca la conferma ufficiale da parte della vittima, ma è raro che i pirati informatici si vantino di colpi che non hanno messo a segno. Bashe, secondo quanto rivendica sul suo sito, avrebbe esfiltrato dalla società che gestisce il più famoso stadio d’Italia (e che, come molti sapranno, ospita le partite casalinghe di Milan e Inter) un terabyte di dati. Non si sa a quanto ammonti la richiesta di riscatto né che tipo di informazioni siano state rubate. “Se confermata – spiega il collettivo di Ransomfeed, che si occupa di sicurezza digitale – sarebbe una delle più grandi fughe di dati nella storia sportiva”. Per avere un’idea, in un tera si possono immagazzinare oltre 250mila foto ad alta risoluzione o 85 milioni di documenti Word.
Il caso del Bologna
Al momento pare non ci siano connessioni con il furto digitale messo a segno una decina di giorni fa ai danni del Bologna calcio da parte di RansomHub, una cyber-gang i cui membri sono quasi tutti di origine russa. La prima rivendicazione è apparsa il 26 novembre ed è poi scomparsa poche ore dopo. Il giorno successivo è riapparsa e poi è stata di nuovo fatta sparire. Sabato sera è riapparsa. “Il club ci ha dato il permesso di pubblicare tutto. A loro – hanno scritto i pirati – non interessa né dei loro dipendenti né dei loro sponsor”. I criminali informatici avrebbero sottratto 200 gigabyte di dati. “Quello ai danni del Bologna – fa notare il collettivo Ransomfeed – è stato il 135esimo attacco ransomware di quest’anno ai danni di una realtà italiana. In tutto nel 2024 sono stati pubblicati oltre 25 terabyte di dati. Una quantità enorme su cui bisognerebbe avviare una seria riflessione. Siamo il quarto Paese al mondo per numero di attacchi ransomware, il primo in Europa. Cosa non è stato fatto in questi anni? Di cosa si sta occupando l’Agenzia per la cybersicurezza nazionale? Anche perché il conto più salato, quasi sempre, alla fine lo pagano i normali cittadini, i cui dati personali vengono rivenduti e spesso utilizzati per organizzare truffe”.
Cosa non ha funzionato
Non si sa se RansomHub abbia sfruttato una falla nelle cyberdifese del Bologna o abbia approfittato dell’ingenuità di qualche dipendente, che magari ha aperto un allegato che conteneva il software che ha permesso ai pirati di entrare nei server della società calcistica. “Il vero problema – sottolinea Ransomfeed – è che una realtà importante come il Bologna non può farsi prendere alla sprovvista in questo modo. Sono loro i primi colpevoli di quello che è successo: evidentemente gli investimenti in sicurezza digitale e formazione del personale sono insufficienti. Una società che spende decine di milioni in ingaggi non può non investirne almeno un paio in sicurezza informatica. Non è accettabile”. RansomHub, nelle sue rivendicazioni, ha detto che all’interno dei dati sottratti ci sarebbero anche le strategie di mercato future e altri documenti finanziari. “Queste informazioni – precisa Ransmofeed – al momento non sembrano esserci. I casi sono due: i criminali potrebbero aver mentito, per fare pressione sul Bologna, o potrebbero semplicemente aver conservato questi dati, molto importanti, per il futuro”. Di una sola cosa c’è certezza: “Non c’è alcuna legge che vieti a una società di pagare un cyber-riscatto, Anche se il Bologna, come ha scritto in un comunicato, non ha ceduto, questi dati presto o tardi verranno comunque monetizzati da RansomHub, che molto probabilmente li offrirà ad altri soggetti interessati a scoprire cosa si nascondeva nei server violati”.
Le conseguenze
Server su cui erano conservate anche informazioni risalenti a quasi dieci anni fa. “Una pratica senza alcun senso. Non si possono lasciare questi dati per così tanto tempo in quelle condizioni. E anche per quanto riguarda la comunicazione, servirebbe molta più trasparenza nei confronti delle persone coinvolte: giocatori, sponsor, fornitori e, soprattutto, tifosi. Non basta dire: ‘Non abbiamo pagato’, perché comunque i dati ormai sono stati messi in Rete e anche se RansomHub li cancellasse, non si può essere sicuri che qualcuno non li abbia copiati”.