Rubati oltre 5 milioni di dati a InfoCert, l’azienda italiana dello Spid: adesso attenti alle email e ai messaggi di phishing

Oltre cinque milioni di dati rubati e messi in vendita sul dark web. Fra questi ci potrebbero essere indirizzi email e numeri di telefono. È stata la stessa azienda di certificazioni InfoCert a denunciare l’attacco in una comunicazione ufficiale. «È stata rilevata la pubblicazione non autorizzata di dati personali relativi a clienti censiti nei sistemi di un fornitore terzo», riferisce la società che è anche fra i fornitori principali del servizio di identità digitale Spid (Sistema Pubblico di Identità Digitale) nel nostro Paese. «Tale pubblicazione è frutto di un’attività illecita in danno di tale fornitore, che non ha però compromesso l’integrità dei sistemi di InfoCert».
È stata una delle società che si occupa di assistenza clienti per InfoCert a essere stata colpita dai cybercriminali. «I dati interessati sono limitati a quelli necessari per evadere le richieste di assistenza inviate dai clienti mediante il sistema di ticketing», spiega l’azienda che si occupa di identità digitale in una nota ufficiale. «Possiamo quindi confermare che ad oggi, contrariamente a quanto riportato da alcune fonti non ufficiali online, non è stata in alcun modo compromessa l’operatività, la sicurezza e l’integrità dei servizi di InfoCert».

Gli accessi allo Spid, alla posta certificata e alla firma digitale, quindi, non sono per adesso in pericolo. A essere interessati sono solo i recapiti degli utenti che contattano l’assistenza clienti per problemi come l’attivazione di un servizio o un abbonamento scaduta. Ma con queste informazioni nelle mani sbagliate è necessario prestare più attenzione ai tentativi di phishing: con i dati rubati i cybercriminali possono provare a ingannare gli utenti inviando email e messaggi per ottenere «l’altra metà» delle informazioni di accesso (cioè la password).

Quali dati sono stati rubati

L’attacco è stato rilevato dall’azienda il 27 dicembre, nello stesso giorno in cui è stato pubblicato su BreachForums (un forum del dark web usato dai cybercriminali proprio per scambiarsi dati rubati) il messaggio per mettere in vendita i dati sottratti a InfoCert al costo di circa 1400 euro. Qui è stato dato agli altri cybercriminali un piccolo assaggio dei dati sottratti, per dimostrare che si tratta di informazioni sottratte davvero all’azienda.
Secondo lo stesso cybercriminale che ha pubblicato l’annuncio, in totale si tratterebbe di 5,5 milioni di dati, di cui 1,1 milioni di numeri di telefono e 2,5 milioni di indirizzi email. «I dati sono ancora privati, non sono stati venduti prima d’ora e potete essere i primi compratori», si legge nell’«annuncio» sul dark web pubblicato nel pomeriggio di venerdì 27 dicembre. Le informazioni, come abbiamo già detto, sono state sottratte a un servizio terzo che si occupa di assistenza clienti e che quindi «nessuna credenziale di accesso ai servizi InfoCert e/o password di accesso agli stessi è stata compromessa in tale attacco». 
«In collaborazione con il nostro fornitore, abbiamo subito posto in essere tutte le misure tecniche per verificare l’evento e tutelare i nostri utenti, contenendo l’attività illecita», riferisce l’azienda, che già ha avviato le denunce e notifiche alle autorità competenti.

InfoCert e i servizi di identità digitale

Compare nella lista di provider di Spid quando dobbiamo accedere a un servizio della pubblica amministrazione italiana. InfoCert fa parte del gruppo Tinexta e nel 2015 ha ricevuto l’accreditamento da parte dell’Agenzia per l’Italia Digitale come gestore d’identità digitale. Oggi è considerata una delle principali autorità di certificazione non solo in Italia, ma anche in Europa grazie ai numerosi servizi offerti, da quelli di firma digitale alla posta elettronica certificata (Pec) fino, appunto, allo Spid. La qualità e la varietà dei servizi offerti, ma anche il livello di sicurezza fornito dall’azienda hanno garantito l’azienda la qualifica di Qualified Trust Service Provider secondo il regolamento europeo eIDAS, che disciplina proprio i servizi fiduciari digitali in Europa. Tuttavia, come nota il sito DDay, il regolamento europeo non impone specifici requisiti di sicurezza per i fornitori terzi e indica solo che il prestatore di servizi fiduciari (quindi InfoCert) debba avere politiche adeguate per la gestione di rischi operativi, inclusi quelli indiretti (e che quindi potrebbe riguardare quelli dei fornitori terzi).