⚡ I Cyber‑Leak del mese di settembre 2025

«La tecnologia è una forza che non capiamo, e che non possiamo fermare.»
— Yuval Noah Harari, Homo Deus (2015)

Settembre 2025 non ha fatto eccezione: violazioni, accessi non autorizzati e vulnerabilità hanno colpito aziende in tutto il mondo, esponendo milioni di dati e confermando una tendenza ormai inarrestabile.

Dai documenti d’identità degli utenti Discord, fino ai 18 milioni di record rubati a Stellantis passando per attacchi mirati ai CRM come Salesforce, il mese appena trascorso dimostra ancora una volta quanto sia fragile la catena della sicurezza digitale, soprattutto nei suoi anelli più deboli: i fornitori esterni e le integrazioni SaaS.

Abbiamo raccolto e verificato gli incidenti principali, per offrire una panoramica affidabile, utile e aggiornata. Non si tratta di “curiosità tecnologiche”, ma di eventi che toccano privacy, reputazione, continuità operativa.

Casi principali di settembre 2025

1. Discord / Terza parte (Zendesk / 5CA) — ~70.000 documenti d’identità
   Il 20 settembre, Discord ha dichiarato che un servizio terzo responsabile dell’identificazione (age verification / support) avrebbe esposto circa 70.000 foto di documenti governativi. Discord sostiene che nessuna password o credenziale degli account è stata compromessa.
2. Stellantis — 18 milioni di record rubati via Salesforce / ShinyHunters
   Il 24 settembre, Stellantis ha confermato un accesso non autorizzato via un fornitore terzo (legate al CRM Salesforce). I dati trafugati includono dati di contatto (nomi, email, telefoni). L’attacco è attribuito a ShinyHunters/cluster legati alla compromissione OAuth tramite integrazioni terze (es. Salesloft/Drift)
3. Tenable (supply‑chain) — oltre 700 organizzazioni colpite
   Tenable ha ammesso che un attacco supply‑chain ha sfruttato integrazioni con Salesloft/Drift, compromettendo token OAuth rubati da GitHub, e coinvolgendo oltre 700 organizzazioni. I dati esposti — relativamente ai casi memorizzati in Salesforce — includono titoli di ticket, descrizioni iniziali e contatti aziendali.
4. Harrods — 430.000 clienti esposti da data breach di terzi
   Verso fine settembre, Harrods ha segnalato che 430.000 record di clienti sono stati esposti in seguito a una compromissione di un fornitore esterno — dati limitati a identificatori base e contatti, senza compromissione di informazioni di pagamento.
5. Asahi Group (Giappone) — attacco cyber con interruzioni operative
   Il 29 settembre, il gruppo giapponese ha subìto un attacco che ha paralizzato i servizi (ordini, call center) e ha portato alla sottrazione di 27 GB di dati aziendali. Finora non è confermata l’esposizione massiva di dati personali.
6. Leak massivo: 252 milioni di identità esposte (7 paesi)
   All’inizio del mese, è emerso che oltre 250 milioni di identità presenti su tre server male configurati (registrati in Brasile e UAE) erano state rese pubbliche. I dati includono numeri di identità, date di nascita, contatti e indirizzi.
7. Fundline Finance (Filippine) — oltre 1 milione di utenti esposti
   Il 26 settembre, gli analisti di CYFIRMA hanno segnalato che l’istituto finanziario è stato violato e che i dati sono stati pubblicati su forum di hacking, includendo contatti personali, numeri di conto e dati finanziari sensibili.
8. PS&KP Motor (Thailandia) — database clienti esposto
   Il 19 settembre si è resa nota una fuga di database contenenti dati personali e veicolari di clienti di un concessionario automobilistico.

Discord vs Stellantis: due casi, una lezione comune

Tra gli incidenti più rilevanti del mese, colpisce la somiglianza tra il caso Discord e quello di Stellantis: due aziende molto diverse, colpite però da dinamiche simili.

Nel primo, l’esposizione di circa 70.000 documenti d’identità è avvenuta attraverso un servizio esterno incaricato del supporto clienti e della verifica dell’età (5CA / Zendesk). Discord ha chiarito che l’attacco non ha coinvolto il sistema centrale, ma solo la piattaforma di terze parti.

Nel secondo, l’accesso a 18 milioni di record è avvenuto tramite una compromissione di token OAuth legati a integrazioni CRM (Salesforce), in un attacco attribuito al gruppo ShinyHunters. Anche qui, il cuore dell’infrastruttura Stellantis non è stato violato direttamente.

In entrambi i casi, l’elemento in comune è chiaro: la catena di fiducia esterna è stata il punto debole. Non è servito violare i server principali — è bastato un accesso laterale, un’integrazione SaaS poco sorvegliata o un vendor con controlli insufficienti.

È una lezione che si ripete con crescente urgenza: oggi, difendere il proprio perimetro non basta più. Bisogna estendere la sorveglianza a tutto ciò che si connette, comunica o si integra con noi — anche se non lo controlliamo direttamente.

Vulnerabilità, zero‑day e attacchi emergenti

• Diverse aziende hanno segnalato exploit via integrazioni OAuth / supply‑chain (es. Salesloft/Drift) che hanno permesso agli attaccanti di raggiungere ambienti Salesforce compromessi.
• Non mancano casi di attacchi su infrastrutture nel cloud, servizi gestiti e CRM di terze parti — la lezione comune: la catena software esterna è ormai terreno privilegiato per attacchi.
• Si segnalano incidenti in cui aziende note (come Zscaler, Palo Alto, Workiva) sono state travolte dalle conseguenze del medesimo attacco supply‑chain basato su Salesloft/Drift OAuth (esposti case e ticket)
• Anche nel mondo vulnerabilità, nel mese sono emersi update su CVE critiche (es. in piattaforme come SAP, Sitecore, distribuzioni web) che richiedono patch tempestive.

Settembre 2025: una lezione chiara

I casi di questo mese mostrano un trend ormai consolidato: la maggior parte degli attacchi non passa più dalla “porta principale”, ma da sistemi laterali, integrazioni SaaS e fornitori terzi. CRM, plugin OAuth, piattaforme di supporto clienti — strumenti essenziali nel business moderno — sono diventati il bersaglio preferito.

In molti episodi, non è stato l’errore umano diretto né una vulnerabilità interna a scatenare la crisi, ma una falla nel perimetro esteso della supply chain digitale. Ed è proprio lì che oggi si gioca la partita della cybersecurity.

Raccomandazioni per chi opera nel digitale

Zero Trust sulle integrazioni
Valuta costantemente ogni plugin, modulo OAuth, app collegata o webhook con accesso elevato. Rimuovi ciò che non serve.

Gestione rigorosa di token e credenziali
Dopo ogni incidente, revoca le chiavi, ruota i token, verifica le connessioni attive.

Accessi minimi e segmentazione
Applica il principio del minimo privilegio: limita ogni accesso solo a ciò che è strettamente necessario, inclusi fornitori.

Patch management continuo
Aggiorna senza ritardi tutti i componenti critici: sistemi CRM, cloud, middleware, identità digitale.

Monitoraggio delle esposizioni
Tieni d’occhio forum, leak site e database compromessi. Usa strumenti come Have I Been Pwned o scanner professionali.

Valutazione dei fornitori
Pretendi audit di sicurezza, certificazioni e test indipendenti. Includi penali e SLA chiari nei contratti.

Preparazione all’incidente
Implementa un piano solido di incident response. Prevedi backup offline, simulazioni periodiche e comunicazione di crisi.

Autenticazione robusta
Applica 2FA ovunque. Nessun accesso critico dovrebbe dipendere solo da una password.

Conclusione

Settembre 2025 ci ricorda che la cybersecurity non è più una funzione tecnica, ma una componente strategica dell’impresa. Non è (solo) una questione di firewall e antivirus, ma di scelte quotidiane, governance e consapevolezza diffusa.

Difendere i dati oggi significa guardare oltre i propri server. Significa proteggere anche ciò che non controlliamo direttamente — ed è proprio lì che dobbiamo essere più lucidi, rapidi e preparati.

📊 Settembre 2025 in cifre

• Record esposti: oltre 272 milioni
• Organizzazioni colpite: +700
• Principali vettori: supply chain, OAuth, CRM
• Settori coinvolti: tecnologia, retail, automotive, finanza
• Attori noti: ShinyHunters, gruppi ransomware non attribuiti