Attacco hacker: rubati i dati degli iscritti SIAE!

siaeMolti iscritti SIAE – non sappiamo quanti o se addirittura tutti – si sono svegliati oggi, 15 novembre, con una brutta sorpresa nella loro posta elettronica.

Una mail certificata proveniente dalla Società Italiana degli Autori ed Editori – SIAE – li informa della violazione di alcuni dei dati personali, c.d. data breach, che si è verificata venerdì 2 novembre 2018 alle ore 23:34 di cui SIAE stessa, titolare del trattamento, ha avuto conoscenza nella stessa data alle ore 23:35.

Cos’è accaduto?
Pare che la SIAE – ai fini della gestione dei servizi riservati agli iscritti del suo portale – utilizzi il Server Linux ubicato su Cloud Amazon, collocato in Irlanda. Il suddetto server è stato violato da un gruppo anonimo di hacker, “attraverso una esecuzione remota di comandi (RCE) resa possibile dalla vulnerabilità CVE-2018-7600“.

In seguito a detto attacco, gli hacker hanno potuto copiare alcuni dati personali.

La comunicazione SIAE prosegue con la descrizione delle azioni intraprese in difesa, le ulteriori misure di sicurezza previste per prevenire eventuali attacchi futuri e la valutazione circa l’entità del rischio di danni economici o morali agli iscritti colpiti.

Consigliamo a tutti gli iscritti SIAE di cambiare la password di accesso al portale su www.siae.it  e di contattare comunque la SIAE anche qualora non avessero ricevuto alcuna comunicazione in merito, ciò al fine di escludere di essere tra le vittime dell’attacco hacker.

Consigliamo invece a coloro che sono state vittime degli hacker di contattare la propria banca nel caso in cui tra i dati copiati fosse incluso il proprio IBAN, onde escludere qualsiasi attività fraudolenta da parte dei delinquenti informatici.

Riportiamo qui di seguito la comunicazione SIAE completa:

Oggetto: Comunicazione di violazione dei dati personali ai sensi dell’art. n. 34 del Regolamento Europeo 2016/679

Gentile Utente,



nel rispetto di quanto prescritto dall’art. 34 del Regolamento (UE) n. 2016/679, recante Il Regolamento Generale sulla Protezione dei Dati personali, di seguito anche RGPD, la Società Italiana Autori ed Editori, di seguito anche SIAE, in qualità di titolare del trattamento dei dati personali da Lei conferiti, con la presente intende comunicarLe l’intervenuta violazione dei Suoi dati personali, c.d. data breach, che si è verificata venerdì 2 novembre 2018 alle ore 23:34 di cui il titolare ha avuto conoscenza in pari data alle ore 23:35.

La violazione ha riguardato il Server Linux ubicato su Cloud Amazon, collocato in Irlanda, impiegato in via esclusiva per la gestione dei servizi esposti sul portale istituzionale www.siae.it. In particolare, il suddetto server è stato violato da un gruppo anonimo di hacker, attraverso una esecuzione remota di comandi (RCE) resa possibile dalla vulnerabilità CVE-2018-7600, che ha permesso la copia di alcuni Suoi dati personali. La violazione è stata prontamente bloccata.

Le azioni intraprese dal titolare per contenere la violazione e garantire il ripristino del servizio sono state la chiusura del traffico web e l’immediata applicazione delle patch sul server risolvendo così la vulnerabilità.

Al fine di evitare il ripetersi di un episodio analogo è in corso un assessment generalizzato dei livelli di sicurezza e la pianificazione degli ulteriori interventi conseguenti eventualmente necessari.

I dati personali relativi alla Sua persona che risultano essere stati illecitamente copiati sono:

Nome, Cognome, Data Nascita, Luogo Nascita, Cellulare: XXXXXXXXXX, Telefono: XXX.XXXXXXX, IBAN: XXXXXXXXXXXXXXXXXXXXXXXXXXX
La violazione non pare presentare un rischio elevato per i Suoi diritti e libertà. Infatti, pur essendo inibito il controllo su tali dati personali e sugli utilizzi che i soggetti che hanno commesso la violazione (e/o terzi per il loro tramite) potrebbero svolgere, deve ritenersi che tali azioni non siano idonee ad arrecarLe un danno economico o un pregiudizio sociale.

Segnaliamo che, con i dati copiati potrebbe essere possibile avere contezza dell’esistenza di un Suo account sul portale SIAE. Si segnala, inoltre, il rischio che tali dati possano essere impiegati per realizzare comunicazioni di phishing. Le suggeriamo, pertanto, di porre particolare attenzione all’inserimento di Suoi dati personali in pagine collegate a messaggi di posta elettronica.

SIAE non Le ha inviato e non Le invierà in alcun caso messaggi di posta elettronica chiedendo di reinserire Suoi dati personali.

SIAE Le conferma che la sua password di accesso non è stata sottratta, tuttavia le suggeriamo di modificarla, accedendo direttamente sul portale SIAE qualora la password abbia elementi in comune con i dati violati. In ogni caso potrà tranquillamente continuare ad utilizzare il suo account e usufruire dei servizi online che SIAE mette a Sua disposizione

Della violazione il titolare ha dato comunicazione, nei termini di cui all’art. 33 RGPD, all’Autorità Garante della protezione dei dati personali.

Per poter ottenere maggiori informazioni relativamente alla violazione in oggetto, può contattare il seguente indirizzo email SiaeUfficioDataProtection@siae.it

Distinti saluti

Domenico A. Di Renzo - MpA

Autore di testi iscritto SIAE e diplomato al CET, la scuola di musica di Mogol, dopo aver vinto una borsa di studio SIAE. Collabora con diversi artisti emergenti per alcuni dei quali ha curato i testi del disco di esordio. La musica è la sua più grande passione. O meglio, quella arrivata prima nella sua vita. Con gli anni è arrivato il primo computer, il primo contratto internet e con essi l’amore per l’informatica. Ha ideato MUSICApuntoAMICI nel 1999, agli albori di internet in Italia, quando farsi un sito tutto proprio non era così scontato (e semplice) come oggi. Cura i profili social e alcune rubriche del sito tra cui Vetrina Emergenti. Ha scritto un corso di metrica online e tiene corsi completi per autori di testi presso scuole di musica.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.