Il legame tra data breach e brand reputation è indissolubile. Non è infatti possibile per un’azienda subire un furto di dati senza incorrere in pesanti conseguenze a livello di immagine e di reputazione. Ancor più del danno emergente e delle conseguenze legali, l’impatto sull’affidabilità del brand può essere enorme, difficile da quantificare economicamente e, soprattutto, da attenuare in tempi accettabili. Il mondo della sicurezza informatica deve il suo fascino (anche) allo stretto legame con l’attualità e sono proprio i casi pubblici a dimostrare quanto data breach e brand reputation non possano essere separati in nessun modo.
A tal proposito, per parlare di un caso significativo, attraversiamo l’Atlantico e atterriamo a Manhattan, dove ha sede uno degli studi legali più potenti, efficienti e apprezzati al mondo: Grubman Shire Meiselas & Sacks. Lo studio, un vero e proprio punto di riferimento nel settore dei media e dell’entertainment, fornisce consulenza a grandi nomi di Hollywood, a personaggi di spicco nel settore dello sport, a cantanti, band e artisti famosissimi. Solo per citarne alcuni: Lady GaGa, Elton John, Bruce Springsteen, David Letterman, Christina Aguilera, Barbra Streisand, Robert DeNiro e Madonna.
Un Data Breach da 756 GB di informazioni confidenziali
A maggio dello scorso anno, iniziarono a circolare voci circa un possibile data breach ai danni dei sistemi informatici dello studio. L’azione venne immediatamente rivendicata dal gruppo che si cela dietro al famigerato ransomware REvil (anche noto come Sodinokobi) e che presumibilmente opera in area est europea. L’annuncio fu particolarmente incisivo, non solo per lo studio, ma per tutto l’ecosistema dell’entertainment a stelle e strisce: grazie al ransomware e alla contestuale esfiltrazione di dati, i criminali entrarono in possesso di 756 GB di dati sensibili e confidenziali comprendenti contratti, corrispondenza personale, e-mail, non-disclosure agreement, numeri telefonici e di contatto. Come spesso accade in questi casi, il gruppo criminale diede immediata dimostrazione di quanto annunciato, pubblicando qualche estratto del contratto tra Madonna e Live Nation relativo al tour di Madame X (2019-20).
A rendere forte l’impatto del data breach sulla brand reputation, la credibilità dell’annuncio. E fu evidente fin da subito, anche perché di REvil erano ben note le potenzialità: tra le vittime si segnalano, per esempio, Brooks International, la National Association of Eating Disorders americana e Travelex, società inglese leader nel cambio di valuta che fece parlare di sé per il supposto pagamento di 2,3 milioni di dollari per il recupero dei file rubati. Se ciò venisse confermato, sarebbe un’ulteriore dimostrazione di quanto le aziende sono disposte a fare per separare il data breach dalla brand reputation.
Entrano in scena nomi celebri: Lady Gaga e Donald Trump
Tornando alla cronaca, lo studio legale ammise tempestivamente l’attacco, confermando a Variety di aver subito notificato i propri clienti e di aver ingaggiato un team di livello mondiale per risolvere la questione e tornare nella disponibilità dei propri dati. Da qui in poi il mistero si infittisce, le informazioni ufficiali diventano rarefatte e, quanto meno in alcuni ambiti, si entra nel campo delle congetture. Le fonti parlano di una richiesta iniziale di 21 milioni di dollari da parte del gruppo criminale e del rifiuto da parte dello studio cui fece seguito, di lì a poco, la pubblicazione nel dark web di dati e documenti appartenenti alla nota artista Lady Gaga: contratti inviati a produttori, collaboratori, staff del tour, accordi promozionali e altri contenuti confidenziali. Contestualmente, la cifra da pagare per tornare in possesso dei dati raddoppiò, passando da 21 a 42 milioni di dollari, ammontare che venne ufficialmente confermato dallo studio in una dichiarazione al magazine Rolling Stone, insieme alla decisione di non pagare il riscatto. A quel punto, il gruppo criminale (“straniero”, secondo le dichiarazioni dello studio), alzò ulteriormente il tiro dichiarando di disporre di documenti e contenuti sul Presidente degli Stati Uniti in grado di indirizzare le elezioni che si sarebbero svolte nell’immediato futuro. Pare comunque che nelle 169 e-mail relative al Presidente americano ci fosse ben poco di compromettente. La storia è tuttora in evoluzione: il gruppo criminale sostiene di aver comunque ricevuto un pagamento di 365.000 dollari dallo studio e avrebbe attivato diverse aste per vendere pacchetti di dati in proprio possesso, aste sui cui esiti non ci sono certezze.
Nulla di ufficiale è, inoltre trapelato circa le dinamiche di infezione. In passato, i criminali hanno usato diversi vettori per trasmettere REvit, compresa la classica circolazione tramite gli allegati delle e-mail: visto che quest’ultimo resta il metodo principale di trasmissione dei ransomware, si può supporre che l’attacco sia avvenuto esattamente in questo modo. Però, è giusto sottolinearlo nuovamente, siamo nel campo delle congetture. Ciò che è sicuro, invece, è il rapporto indissolubile tra questo data breach e la brand reputation: pur non essendo trapelate informazioni circa possibili azioni di risarcimento da parte dei clienti, se anche l’azienda riuscisse a dimostrare una condotta irreprensibile nella gestione del caso, una semplice distrazione potrebbe aver abbattuto una rispettabilità e un’affidabilità costruita in decenni di duro lavoro.
