Durante il periodo natalizio, diverse fonti giornalistiche e forum specializzati sul dark web hanno riportato la notizia di un’importante violazione dei dati che ha coinvolto un fornitore terzo di InfoCert, una delle principali autorità di certificazione in Italia e in Europa. InfoCert fornisce servizi fondamentali come SPID, firma digitale e Posta Elettronica Certificata (PEC).
L’incidente
L’episodio si sarebbe consumato intorno alla fine di dicembre, quando un utente anonimo, con lo pseudonimo “PieWithNothing”, ha pubblicato su BreachForums (forum di hacking) un annuncio in cui metteva in vendita un corposo database. Tale database conterrebbe, secondo quanto dichiarato, ben 5,5 milioni di record rubati da un sistema riconducibile a InfoCert.
Fin dall’inizio, l’azienda ha chiarito che si tratta di una compromissione subita da un suo fornitore esterno e non di un’intrusione diretta nei sistemi interni di InfoCert. Questo elemento si riflette anche sul tipo di dati potenzialmente esposti: da quanto emerso, non sarebbero state sottratte credenziali di accesso o password, mentre è da subito apparso più concreto il rischio legato alle informazioni personali come indirizzi email e numeri di telefono.
I dati sottratti nella violazione di InfoCert
Secondo le prime stime, nel database rubato figurerebbero 1,1 milioni di numeri di telefono unici e 2,5 milioni di indirizzi email, oltre ad altri dati personali (come nome e cognome), verosimilmente utilizzabili per operazioni di profilazione.
Sebbene InfoCert non abbia fornito conferme ufficiali sulle modalità tecniche dell’attacco, la quantità e la natura dei dati sottratti suggeriscono la possibilità di una vulnerabilità di tipo SQL injection nei sistemi del fornitore terzo. Un attacco di questo genere, infatti, può consentire ai criminali informatici di accedere a interi database, estraendo le informazioni archiviate in grandi volumi. Proprio il mancato coinvolgimento di credenziali e password, unito alla presenza massiccia di contatti personali, fa pensare che gli aggressori abbiano esfiltrato raccolte di email e numeri di telefono proprio in questo modo, per scopi di spam, phishing o smishing.
Molti organi di stampa hanno diffuso la notizia sottolineando l’aspetto potenzialmente allarmante di un attacco che tocca, seppur indirettamente, i servizi SPID e i sistemi di identità digitale gestiti da InfoCert. Va riconosciuto che la vicenda è stata in parte gonfiata, poiché la compromissione non riguarda credenziali di accesso a tali servizi, né risulta evidente che i sistemi centrali di InfoCert siano stati violati. Un altro fattore che ridimensiona l’allarme è il prezzo richiesto dal cybercriminale per l’intero database: appena 1.400 euro, una cifra considerata modesta nel mercato nero dei dati, soprattutto se rapportata ai numeri potenzialmente enormi della violazione.
La minaccia del Social Engineering
Questo, tuttavia, non significa che l’incidente possa essere ignorato. La presenza di milioni di email e numeri di telefono, unita ad altre informazioni personali, aumenta la probabilità di attacchi di social engineering. Nello scenario più plausibile, i criminali potrebbero condurre campagne di phishing o smishing mirate, approfittando del marchio InfoCert (o di altri soggetti della Pubblica Amministrazione italiana) per creare un falso senso di autenticità. Questo tipo di offensiva fa leva su meccanismi di ingegneria sociale, convincendo le vittime a fidarsi di un mittente apparentemente legittimo.
È chiaro come questo episodio metta in evidenza la criticità dei cosiddetti “supply chain attack”. Colpendo un fornitore terzo, i criminali riescono a compromettere grandi quantitativi di dati, gettando un’ombra su chi quei dati li utilizza o li custodisce per finalità operative o commerciali. Anche se le infrastrutture di InfoCert non sono state attaccate direttamente, gli utenti finali potrebbero ugualmente subirne le conseguenze, ad esempio ricevendo email di phishing estremamente convincenti e calibrate sulle informazioni sottratte.
Lezioni dal Data Breach
Ciò dimostra quanto sia cruciale mantenere standard di sicurezza elevati lungo l’intera filiera, tenendo conto anche delle politiche di sicurezza adottate dai propri fornitori e partner. Del resto, il regolamento europeo eIDAS riconosce alle aziende come InfoCert la qualifica di “Qualified Trust Service Provider”, ma non prescrive in modo dettagliato i requisiti di sicurezza cui devono attenersi i fornitori terzi.
In conclusione, pur non trattandosi di un attacco che ha esposto credenziali di accesso ai servizi InfoCert, la vicenda risulta significativa per dimensioni e potenzialità offensive. Da un lato, l’indisponibilità delle password limita l’effettivo rischio che qualcuno possa direttamente accedere ad account SPID o PEC degli utenti coinvolti. Dall’altro, la mole di dati personali sottratti rappresenta un veicolo di minacce non trascurabile, in quanto può agevolare campagne di phishing, smishing e frodi telematiche.
Chiunque abbia ragione di credere che i propri recapiti siano presenti nel database rubato dovrebbe quindi mantenere alta la guardia, prestando particolare attenzione alle comunicazioni provenienti da presunti indirizzi InfoCert o da enti pubblici che richiedano clic su link, download di allegati o l’inserimento di dati sensibili. È sempre consigliabile, in caso di dubbi, contattare direttamente l’azienda o l’ente pubblico coinvolto per accertarne la legittimità.
Questo incidente dimostra a tutte le organizzazioni l’importanza di un approccio globale alla sicurezza, che includa politiche rigorose per la protezione dei dati e l’analisi delle vulnerabilità lungo tutta la catena di fornitura. Ma ricorda anche a tutti noi che la sicurezza non è mai statica, ma richiede un impegno costante e condiviso per fronteggiare minacce in continua evoluzione.