Da ieri gli utenti SPID che utilizzano come provider InfoCert sono nell’incertezza: la società ha infatti confermato di aver subito un attacco hacker risultato in un furto di dati. 

Ma quali dati sono stati sottratti, che rischi corriamo e cosa possiamo fare? Al momento InfoCert sta facendo gli opportuni accertamenti, ma alcuni punti sono già chiari. 

Cos’è InfoCert

Sicuramente conoscerete InfoCert, parte di Tinexta Group e uno dei maggiori fornitori di identità digitale SPID in Italia. L’azienda conta 10 milioni di clienti., tra cittadini, imprese e pubbliche amministrazioni, con un fatturato nel 2022 di 137 milioni di euro.

In Italia ci sono 1,8 milioni di SPID InfoCert attivi, per un totale di 64 milioni di accessi ai portali Web con i suoi servizi di autenticazione. Non solo, ma l’azienda partecipa anche alla creazione del portafoglio digitale europeo. 

Insomma, una realtà di primo piano nel campo della sempre più importante identità digitale, ed è quindi comprensibile come la notizia di un furto di dati sia da prendere in seria considerazione.

L’attacco hacker

Il 27 dicembre su BreachForums, un forum nel deep Web frequentato dagli hacker, è apparso un post dell’utente PieWithNothing (identificato come GOD User sulla piattaforma, con una “reputazione” molto elevata) che affermava di aver sottratto i dati sensibili di circa 5,5 milioni di utenti. 

L’hacker offriva un campione dei dati sottratti come prova, un file CSV con 24 righe contenente alcune informazioni riservate, e chiedeva 1.500 dollari per venderli. 

InfoCert ha confermato il giorno dopo il furto con una nota sul suo sito, ribadendo che non sono state sottratte però le credenziali di accesso al sistema.

Lo stesso autore del furto conferma di aver sottratto 5,5 milioni di registrazioni, che comprendono 1,1 milioni di numeri di telefono e 2,5 milioni di email, senza duplicati. 

Analizzando il campione fornito dall’hacker, il cito CyberSecurity360 ha notato come si tratti di un database di tipo SQL di 24 righe e 196 campi che comprende:

nomi
cognomi
indirizzi email
codici fiscale
numeri di telefono
scambi di corrispondenza tra InfoCert e i clienti, come
motivo della richiesta di assistenza
dettagli
risoluzione

Nel complesso, sembrerebbe che l’hacker abbia sfruttato una vulnerabilità sul server e sottratto i dati del database delle richieste di assistenza della piattaforma.

Ovviamente si tratta di un’ipotesi e dobbiamo attendere la fine dell’inchiesta da parte di InforCert e delle autorità per esserne sicuri, ma CyberSecurity360 ha notato delle configurazioni agli header del dominio InfoCert che potrebbero esporre il server ad attacchi. 

In ogni caso, lo ribadiamo, InfoCert assicura che non sono stati sottratti i dati di accesso SPID, quindi l’identità digitale degli utenti è al sicuro. 

Al momento è ancora prematuro fare ipotesi, ma questo tipo di furti è in genere sfruttato per attacchi di phishing (in tutte le loro forme, come smishing o altri).

Conoscendo i dettagli degli utenti come numeri di telefono, email e storico delle richieste di assistenza, un eventuale malintenzionato potrebbe fingersi InfoCert o un altro servizio (più spesso banca o anche semplicemente un servizio di spedizioni) per spingere l’utente a rivelare i suoi dati di accesso a una piattaforma. 

I consigli che diamo quindi sono sempre i soliti: quando riceviamo un’email o un messaggio da un servizio, riflettiamo e non cediamo al senso di urgenza che spesso queste comunicazioni ci trasmettono.

Riflettiamo e poniamoci delle domande: le truffe creano un senso di urgenza con termini come “urgente, immediato, disattivato, non autorizzato o altro”.
Controlliamo i dettagli: se l’indirizzo del mittente o il numero di telefono è compatibile con chi dice di essere, oppure se il contenuto contiene errori grammaticali
Non inviamo mai informazioni personali o denaro: nessuna azienda chiederà mai il pagamento o le informazioni personali 

I servizi di identità digitale sono diventati parte fondamentale delle nostre vite: scopri le alternative disponibili e come usarle.