Kodak ha confermato una violazione dati tra il 17 e il 18 giugno 2026, dopo che il gruppo criminale ShinyHunters aveva rivendicato il furto di oltre 2,2 milioni di record sul proprio leak site già il 15 giugno. La deadline minacciata è fissata per oggi, 18 giugno 2026, con la minaccia esplicita di pubblicazione se non verrà pagato un riscatto. Non c'è traccia di ransomware nel racconto dell'azienda né nelle rivendicazioni del gruppo: il meccanismo è l'estorsione pura, basata solo sulla minaccia di esposizione dei dati rubati.
- Kodak conferma accesso non autorizzato a "una quantità limitata di dati aziendali", ma la rivendicazione di ShinyHunters parla di oltre 2,2 milioni di record con PII di clienti e dati interni.
- Il gruppo ha fissato al 18 giugno 2026 la deadline per il pagamento del riscatto, minacciando la pubblicazione su leak site.
- L'azienda dichiara l'incidente "contenuto" e privo di minaccia per sistemi o operazioni, con investigazione in corso supportata da esperti esterni e forze dell'ordine.
- ShinyHunters è attivo su scala industriale: nella settimana precedente ha colpito oltre 100 organizzazioni tramite zero-day Oracle PeopleSoft, oltre a campagne su Salesforce e Snowflake.
Un'icona analogica nel mirino del crimine digitale
Kodak è il caso limite dell'industria tecnologica: inventò la fotografia digitale nel 1975, non la capitalizzò, e divenne paradigma della cecità strategica verso il proprio futuro. Ora quello stesso marchio, sopravvissuto a bancarotte e trasformazioni, è nel mirino di un modello criminale che sfrutta esattamente l'opposto: la dematerializzazione totale del valore, i dati come merce di scambio.
Il portavoce di Kodak ha dichiarato a SecurityWeek che "an unauthorized third party illegally gained access to a limited amount of company data". A BleepingComputer ha aggiunto il qualificativo "temporary access", precisando che l'azienda ha "promptly engaged external cybersecurity experts to support an investigation of what data was accessed and copied". Entrambe le dichiarazioni convergono sullo stesso scenario: accesso illecito, durata non quantificata ma definita temporanea, e assenza di impatto su sistemi operativi.
La tensione tra la narrazione aziendale e la rivendicazione criminale è il cuore della storia. Kodak usa il lessico del contenimento; ShinyHunters pubblica numeri specifici e una deadline. Chiunque abbia coperto breach sa che "limited in scope" è formulazione aziendale standard, non misura oggettiva. Due virgola due milioni di record, se il numero è attendibile, non sono marginali. La fonte non specifica la natura esatta dei dati esposti oltre alla generica indicazione di "customer PII and other internal corporate data".
"Over 2.2 million records containing customer PII and other internal corporate data was compromised. This is a final warning to reach out by 18 June 2026 before we leak along with several annoying (digital) problems that'll come your way" — ShinyHunters sul proprio leak site
ShinyHunters e l'estorsione come supply chain
Il gruppo ha costruito un modello operativo che assomiglia più a una piattaforma che a una gang tradizionale. Non cifrano i sistemi: rubano i dati, li monetizzano tramite pressione psicologica e pubblicazione, e passano al bersaglio successivo con efficienza da catena di montaggio. Il vantaggio è la velocità: niente decriptazione, niente negoziazione su timer, niente infrastruttura ransomware da mantenere. Lo svantaggio per le vittime è che il rifiuto di pagare non lascia spazio per il ripristino: i dati o restano privati o vengono esposti, senza terza via tecnica.
Nella settimana precedente all'attacco Kodak, ShinyHunters ha colpito oltre 100 organizzazioni sfruttando una zero-day in Oracle PeopleSoft, secondo quanto riportato da BleepingComputer. Il gruppo ha rivendicato inoltre campagne che hanno esposto dati di centinaia di clienti Salesforce e oltre una dozzina di clienti Snowflake, con un totale di circa 1,5 miliardi di record rubati in operazioni su piattaforme enterprise. Il pattern è coerente: software ampiamente diffuso, accesso centralizzato, esfiltrazione massiva.
Ciò che differenzia questo modello dal ransomware tradizionale è l'assenza di distruzione. Il danno non è l'indisponibilità del sistema, ma la perdita di controllo sul dato. Per le aziende questo significa che la rilevazione può essere ritardata: senza cifratura visibile, il dwell time si estende fino alla pubblicazione della rivendicazione. Kodak stessa ha confermato l'incidente solo dopo l'apparizione sul leak site, non prima.
Cosa fare adesso
Per i clienti Kodak, l'esposizione di PII apre finestre di rischio post-breach che durano mesi: attenzione a comunicazioni non richieste che citano dettagli apparentemente noti, verifica delle notifiche ufficiali dell'azienda, monitoraggio dei report creditizi. Per le organizzazioni enterprise, il caso richiede quattro azioni prioritarie.
Primo, verificare esposizioni di sistemi Oracle PeopleSoft, Salesforce e Snowflake: ShinyHunters ha dimostrato capacità di sfruttare vulnerabilità zero-day o credenziali compromesse su queste piattaforme con velocità di propagazione su centinaia di target. Secondo, ridurre il dwell time attraverso monitoraggio delle query anomale su database con accesso a dati sensibili, non solo sui perimeter firewall. Terzo, segmentare l'accesso ai dati customer in modo che la compromissione di un'integrazione di terze parti non esponga il repository primario. Quarto, preparare protocolli di comunicazione breach che anticipino la pubblicazione sul leak site: la velocità della disclosure aziendale è fattore competitivo nella gestione della reputazione.
Il limite delle conferme e il buco nero del vettore
Il dossier presenta limiti significativi che incidono sulla lettura completa dell'incidente. Kodak non ha divulgato il vettore di accesso iniziale: zero-day, credenziali compromesse, social engineering o configurazione errata restano tutte ipotesi plausibili ma non verificate. La durata effettiva dell'accesso "temporary" non è quantificata; l'affermazione del portavoce non specifica se si tratti di ore, giorni o settimane. Non è noto se la violazione abbia coinvolto la rete interna dell'azienda o solo sistemi perimetrali esposti.
Il numero di 2,2 milioni di record deriva esclusivamente dalla rivendicazione di ShinyHunters, senza conferma indipendente o quantificazione aziendale. Kodak non ha risposto, al momento delle fonti, alla domanda su eventuale coinvolgimento della rete interna. Non è nota la risposta dell'azienda alla richiesta di riscatto, né è verificabile se i dati siano stati effettivamente pubblicati dopo la deadline del 18 giugno. La natura esatta dei "several annoying (digital) problems" minacciati dal gruppo non è specificata: riferimento a attacchi DDoS, diffusione mirata, o retorica intimidatoria generica.
Perché questo breach racconta il presente del crimine informatico
L'estorsione senza ransomware è il naturale evolution del mercato: costi operativi più bassi, superficie di attacco più ampia, e una domanda di dati che non dipende dalla capacità di decriptare ma dalla capacità di emozionare. ShinyHunters non vende tecnologia, vende ansia. Il timer del 18 giugno è teatro, ma teatro efficace.
Il caso Kodak non è importante perché l'azienda sia critica per l'infrastruttura globale, ma perché dimostra la democratizzazione verticale del rischio: nessun brand è troppo storico, nessun settore troppo lontano dai dati sensibili. Il criminale non sceglie più in base al valore tecnologico del target, ma in base alla probabilità di pagamento. E un'azienda che ha già attraversato crisi esistenziali è, per definizione, vulnerabile alla pressione reputazionale.
Se i dati verranno pubblicati, l'impatto sui 2,2 milioni di individui sarà distribuito nel tempo: phishing mirato, identity theft, ricostruzione di profili per attacchi futuri. Se non verranno pubblicati, il modello avrà funzionato comunque, rafforzando l'incentivo alla replica. In entrambi i casi, l'unica certezza è che il prossimo leak site è già in costruzione.
Fonti
- https://www.securityweek.com/kodak-admits-data-breach-after-shinyhunters-hack-claims/
- https://www.welivesecurity.com/en/ransomware/calm-ransom-what-you-see-is-not-all-there-is/
- https://www.bleepingcomputer.com/news/security/kodak-confirms-data-breach-claimed-by-shinyhunters-extortion-gang/
- https://www.hendryadrian.com/kodak-admits-data-breach-after-shinyhunters-hack-claims/
- https://www.welivesecurity.com/en/business-security/what-cybersecurity-actually-does-for-your-business/
- https://www.welivesecurity.com/en/business-security/locks-socs-cat-box-what-schrodinger-can-teach-us-about-cybersecurity/
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.