⚡ I Cyber‑Leak del mese di agosto 2025

«La tecnologia è una forza che non capiamo, e che non possiamo fermare.»
— Yuval Noah Harari, Homo Deus (2015)

Nell’instabile panorama digitale, ogni piattaforma incauta, ogni sistema terzo, ogni link perso possono trasformarsi in un varco vittima. Agosto 2025 conferma il trend: una serie di attacchi, leak e vulnerabilità mostrano quanto il confine tra il presente e una distopia sia ormai fragile.

Abbiamo scelto informazioni confermate e verificate.

Casi principali

1. Bouygues Telecom (Francia): 6,4 milioni di clienti colpiti

Il 4 agosto, Bouygues Telecom ha rivelato una violazione che ha interessato circa 6,4 milioni di account clienti, incluse informazioni personali, dati contrattuali e IBAN, tramite un attacco sofisticato. Nessuna password o numero di carta è stato compromesso. L’azienda ha prontamente implementato contromisure e notificato autorità come ANSSI e CNIL.

2. Campagna supply‑chain Salesforce/ShinyHunters (più vittime)

Diversi attacchi orchestrati dalla banda ShinyHunters, sfruttando servizi CRM collegati a Salesforce, hanno coinvolto nazionali e multinazionali come TransUnion (4,46 milioni di record), Farmers Insurance (1,1 milioni), Google, Cisco, Pandora, Chanel, Workday, Air France–KLM.

3. Google fallisce il consiglio (vittima pure lei)

Il 5 agosto, Google ha confermato di essere stata violata tramite un’istanza Salesforce: gli attaccanti hanno raccolto nomi di aziende e contatti B2B (dati per lo più pubblici), nonostante Google avesse avvertito altri prima dell’attacco.

4. Workday: Hitech nel cloud CRM

Workday, importante fornitore HR, il 15 agosto ha reso noto l’accesso non autorizzato a un CRM di terze parti tramite social engineering. I dati trafugati includono nomi, email e telefonate di contatto aziendale (attributo al gruppo ShinyHunters).

5. Connex Credit Union (USA): 172,000 membri esposti

Un attacco avvenuto tra giugno e luglio è stato reso noto l’11 agosto: dati personali, numeri di conto, SSN e carte di debito di circa 172.000 membri sono stati compromessi. Nessuna perdita diretta di fondi è stata segnalata, ma è stato attivato un monitoraggio.

6. Manpower Lansing (USA): quasi 145,000 persone violate

Il 12 agosto, il franchising di Manpower nel Michigan ha confermato un attacco ransomware da parte di RansomHub, che ha sottratto 500 GB di dati includendo passaporti, SSN, contratti e mail, coinvolgendo circa 145.000 individui.

7. Documenti degli ospiti in hotel italiani su darknet

Tra giugno e luglio, circa 10 hotel italiani sono stati vittime di un furto di scansioni HD di documenti (passaporti, carte d’identità) di oltre 90.000 ospiti, messi in vendita su forum darknet.

8. Brevetti nascenti: vulnerabilità critiche e zero‑day

WinRAR (CVE‑2025‑8088): exploitation via phishing con backdoor (RomCom).
Citrix NetScaler (CVE‑2025‑6543, CVE‑2025‑7775): RCE e web shells attivi su infrastrutture critiche.
Apple Image I/O (CVE‑2025‑43300) e Git (CVE‑2025‑48384): sfruttati in attacchi mirati.

9. PXA Stealer (malware): colpita la finanza globale

Un malware di tipo stealer, chiamato PXA Stealer, è stato individuato in un’operazione internazionale che ha infettato oltre 4.000 IP in 62 Paesi, rubando più di 200.000 password, centinaia di dati di carte e oltre 4 milioni di cookie. Il target: finanza, crypto-wallet.

10. Leak in Indonesia: JNE (81 milioni di record)

Una fuga massiccia di dati riguardante PT. Tiki JNE (logistica Indonesia): 81,47 milioni di record, distribuiti su 245 GB, sono stati messi in vendita su darknet dopo un cyber attacco del 10 agosto.

Incidente spiccatamente rilevante

Fornitori terzi nel mirino

Molti dei casi sopra mostrano una tendenza comune: la via d’accesso passa quasi sempre da fornitori esterni o servizi di terze parti (Bouygues Telecom, Salesforce/CRM, JNE, Workday, Manpower…). Ciò evidenzia una criticità strutturale nella cybersecurity: la supply chain digitale è spesso il tallone d’Achille, anche quando il sistema principale è robusto.

Consigli per agosto 2025 (e oltre)

Password uniche + 2FA obbligatoria (possibilmente con app o token fisico).
Aggiornamenti tempestivi: patch per servizi critici (Citrix, Apple, WinRAR, ecc.).
Audit continuo sui fornitori (policy, contratti, penali, verifiche).
Monitoraggio proattivo: piattaforme come Have I Been Pwned o equivalenti professionali.
Diffidare dei contatti sospetti, soprattutto legati a incident response, anche se sembrano provenire da provider noti.

Come chiusura, agosto 2025 ci consegna un quadro definitivo: la cybersecurity non è più opzionale o reattiva. È un presidio continuo, sistematico, collettivo. Non serve fuggire dal digitale: serve capirlo, controllarlo, difenderlo.