Furto dati Disney scoperto autore e metodo innovativo utilizzato per attacco informatico

L’identificazione dell’autore e i procedimenti legali

La scoperta dell’autore dell’attacco informatico a Disney è stata il risultato di una complessa indagine coordinata dal Dipartimento di Giustizia degli Stati Uniti. Dopo mesi di approfondimenti, è stato individuato Ryan Mitchell Kramer, un giovane di 25 anni originario di Santa Clarita, che aveva assunto una falsa identità come membro di un fantomatico gruppo hacktivista chiamato NullBulge. Kramer ha formalmente ammesso la sua responsabilità attraverso un patteggiamento in cui si è dichiarato colpevole di due capi di imputazione, ciascuno dei quali comporta una possibile pena detentiva fino a cinque anni a livello federale.

L’inchiesta ha messo in luce anche il modus operandi e i presupposti giuridici su cui si basa il procedimento penale, confermando la gravità di un attacco che ha violato sistemi informatici critici e che ha portato alla sottrazione di dati sensibili appartenenti a uno dei maggiori gruppi aziendali al mondo. La confessione di Kramer rappresenta un passo decisivo verso l’azione giudiziaria, offrendo elementi utili per la comprensione e la prevenzione di future minacce simili. Le autorità mantengono alta l’attenzione sulla sicurezza informatica e la tutela delle infrastrutture digitali strategiche.

Tecnica di attacco e compromissione dei sistemi Disney

Il metodo utilizzato per infiltrare i sistemi Disney si è basato su una sofisticata combinazione di ingegneria sociale e malware occulto integrato in un software apparentemente innocuo. Nel corso dei primi mesi del 2024, Ryan Mitchell Kramer ha sviluppato e distribuito un’applicazione per la generazione di immagini tramite intelligenza artificiale disponibile su piattaforme come GitHub. Questo tool, scaricato da diverse vittime tra cui un dipendente Disney, Matthew Van Andel, nascondeva un malware progettato per compromettere il dispositivo della vittima e catturare le credenziali memorizzate, in particolare quelle archiviate nel gestore di password 1Password.

Una volta ottenute le credenziali di accesso, Kramer ha potuto penetrare nei canali Slack aziendali, raccogliendo illegalmente circa 1,1 terabyte di dati riservati provenienti da quasi 10.000 canali non pubblici. La scelta di bersagliare Slack è stata strategica, dato che il servizio rappresenta uno degli strumenti primari utilizzati da Disney per la comunicazione interna e la condivisione di informazioni sensibili. Il malware si è rivelato efficace non solo nel sottrarre dati ma anche nel mantenere persistente il controllo sugli account compromessi, consentendo ad Kramer di operare indisturbato fino al momento della scoperta.

La compressione e successiva diffusione dei dati avvenuta a luglio 2024 su piattaforme underground come BreachForums dimostra la pericolosità dell’attacco, che oltre a violare la sicurezza interna di Disney, ha esposto informazioni sensibili a una vasta audience potenzialmente malevola. Kramer ha ammesso inoltre che il tool infetto è stato scaricato da altri due utenti, consolidando una rete di compromissioni non limitata all’azienda statunitense ma avente potenzialmente ramificazioni più ampie nel settore tecnologico.

Conseguenze per le vittime e impatti sull’azienda

Le ripercussioni causate dall’attacco informatico ricadono sia sulle vittime dirette sia sull’intera organizzazione aziendale. Per Matthew Van Andel, il dipendente Disney coinvolto nell’infezione del suo dispositivo, le conseguenze personali sono state particolarmente gravi: in aggiunta alla compromissione delle sue credenziali, è stato licenziato per la presenza di materiale inappropriato rinvenuto nel suo computer di lavoro, elemento probabilmente inserito dal malware e utilizzato come ulteriore leva coercitiva dall’hacker. Questo episodio evidenzia la complessità e l’impatto umano legato a vulnerabilità informatiche vissute a livello individuale.

Dal punto di vista aziendale, Disney ha subito un danno reputazionale e un serio rischio legale. La sottrazione di 1,1 terabyte di dati riservati da quasi 10.000 canali Slack ha esposto informazioni sensibili relative a progetti in corso, strategie interne e dati personali di dipendenti e collaboratori, con ripercussioni potenziali sulla sicurezza operativa e la conformità a normative sulla privacy. La divulgazione sui forum criminali darknet ha amplificato la visibilità del danno, ponendo Disney sotto la lente delle autorità di regolamentazione e costringendo l’azienda a rivedere i propri protocolli di sicurezza informatica.

Inoltre, l’incidente ha evidenziato alcune falle nei processi di gestione delle credenziali e negli strumenti di controllo degli accessi, spingendo Disney a intensificare gli investimenti in tecnologie di protezione avanzate e a rafforzare la formazione interna sul tema della sicurezza informatica. L’evento rappresenta un significativo richiamo alla necessità di adottare una strategia di cybersecurity integrata e proattiva, specialmente in contesti ad alto valore informativo come quello di grandi multinazionali tecnologiche e di intrattenimento globale.