Un portale di leak è un sito web pubblico di estorsione usato da gruppi ransomware o di furto di dati per nominare presunte vittime e talvolta pubblicare file rubati, screenshot o campioni. L’obiettivo è creare pressione: una volta che un’azienda viene elencata, clienti, partner e stampa possono presumere che una violazione sia reale, anche prima che le prove siano verificate.
I portali di leak sono importanti perché fanno parte delle tattiche di doppia estorsione. Gli attaccanti li usano per minacciare la divulgazione se non viene effettuato il pagamento, o per dimostrare di poter accedere ai dati. Per i difensori, un’inserzione non è la prova di un compromesso, ma è un forte indizio per la risposta all’incidente. I team di sicurezza dovrebbero conservare i log, controllare l’attività di autenticazione e di accesso remoto, esaminare trasferimenti di dati insoliti e verificare i backup mentre indagano se l’affermazione sia autentica.