Una nuova evoluzione nel caso di data breach che ha coinvolto la fintech texana Marquis conferma le vulnerabilità insite nelle catene di approvvigionamento digitali. Marquis sostiene ora che il suo attacco ransomware, avvenuto nell'agosto 2025, è stato reso possibile da un hack precedente al suo provider di firewall, SonicWall, che ha compromesso backup cloud contenenti configurazioni critiche.
La dinamica dell’attacco secondo Marquis
Secondo una comunicazione revisionata da TechCrunch, Marquis ha affidato a un’indagine di terze parti la ricostruzione dell’incidente.
Il punto di svolta è l’ammissione che SonicWall ha subito una violazione nei suoi servizi di backup cloud a settembre 2025. Inizialmente si parlava di meno del 5% dei clienti coinvolti, ma la stima è poi salita a includere tutti coloro che utilizzavano il servizio, compresa Marquis, il cui backup del file di configurazione firewall era memorizzato nel cloud compromesso.
Marquis sostiene che gli attaccanti abbiano sfruttato queste informazioni — impostazioni, politiche, credenziali — per oltrepassare le sue difese perimetrali. L’azienda valuta ora opzioni legali per recuperare le spese sostenute nella gestione dell’incidente, compresi eventuali costi a carico dei clienti.
La portavoce Hanna Grimm ha puntualizzato che SonicWall “in un primo momento aveva detto che meno del 5% dei clienti era coinvolto, ma ha corretto il tiro a ottobre 2025 ammettendo che le configurazioni e le credenziali di tutti i clienti erano state violate”.
La posizione di SonicWall
Da parte sua, SonicWall ha richiesto a Marquis di fornire evidenze concrete che colleghino direttamente la sua violazione con l’attacco ransomware subito. L’azienda ha sostenuto di non avere nuove prove che dimostrino un rapporto tra il suo incidente, comunicato a settembre 2025, e attacchi ransomware globali in corso su firewall ed edge device.
Contesto e dimensione del danno
L’incidente iniziale su SonicWall ha coinvolto l’accesso non autorizzato a file di backup del firewall tramite un’API della piattaforma MySonicWall in cloud. I file, sebbene criptati, contenevano impostazioni quali regole di rete, politiche VPN, credenziali di servizio e altri dati sensibili, sufficienti per mettere in pericolo la sicurezza dei clienti.
Il ransomware su Marquis, rilevato il 14 agosto 2025, ha colpito decine di banche e credit union (almeno 74 istituzioni), esponendo dati personali di più di 400.000 individui: nomi, indirizzi, numeri di previdenza sociale, TIN, informazioni finanziarie e date di nascita.
Perché il caso Marquis è sintomatico dei rischi della supply chain
Il caso Marquis è emblematico di come le compromissioni a valle di un fornitore possano avere effetti devastanti sui clienti finali. Anche se un’organizzazione adotta robuste misure di sicurezza, può risultarne vulnerabile a causa di configurazioni o backup gestiti esternamente.
SonicWall, con circa 500.000 clienti, inizialmente aveva limitato l’impatto dell’incidente credendo colpite meno del 5% delle configurazioni cloud.
Tuttavia, ha poi riconosciuto che l’intera base di utenti del servizio era stata compromessa. Questo ritardo nella piena consapevolezza aumenta il rischio per i fornitori downstream che potrebbero continuare a fidarsi di configurazioni esposte.
Lezioni e strategie per il futuro
Il caso offre quattro insegnamenti fondamentali per chi opera in settori critici come la fintech e la sicurezza informatica:
Mitigazione dei rischi della supply chain: è essenziale valutare i fornitori anche per le loro pratiche di backup e recovery, non solo per i prodotti in uso.
Verifica costante dei backup: i backup esterni devono essere isolati, verificati e sottoposti a test indipendenti.
Policy di rotazione credenziali: dopo un incidente a monte, è fondamentale resettare e revisionare credenziali e segreti legati alle configurazioni cloud.
Trasparenza nelle comunicazioni: SonicWall ha sottovalutato inizialmente il numero di clienti coinvolti. Tempestività e chiarezza avrebbero ridotto il danno reputazionale e operativo.
In sostanza, la fiducia in un ecosistema digitale sempre più interconnesso non può prescindere da controlli indipendenti, risposta rapida e orchestrazione tra fornitori e clienti nella gestione degli incidenti.
Il caso Marquis-SonicWall mostra che, in materia di cyber-rischio, la protezione non può limitarsi al proprio perimetro: deve estendersi lungo l’intera catena di valore digitale.
