Hacker, rubati 5 milioni di dati al gestore Spid

Secondo Infocert, però, credenziali e password sensibili sono al sicuro: sarebbero stati violati i sistemi di un fornitore terzo. Diffusi sul dark web nomi, numeri di telefono ed email dei clienti. Timori di un aumento di cybertruffe a privati e imprese.L’esperto Alessandro Curioni: «Sicurezza lasciata indietro. L’Europa tecnologicamente è un moscerino».Lo speciale contiene due articoli.Si parla di 5 milioni di dati rubati - inclusi nomi, cognomi, indirizzi email, codici fiscali e numeri di cellulare - e messi in vendita sul dark web. L’attacco informatico agli onori delle cronache nelle ultime ore ha interessato Infocert, azienda parte del gruppo Tinexta e leader europeo nel campo della certificazione digitale, ma nello specifico ha preso di mira un fornitore terzo dell’azienda. La società madre ha assicurato i suoi clienti sul fatto che «nessuna credenziale di accesso o password di accesso agli stessi è stata compromessa», ossia che, contrariamente ad alcune voci, nessuno Spid è stato violato. «È stata rilevata la pubblicazione non autorizzata di dati personali relativi a clienti censiti nei sistemi di un fornitore terzo», si legge nel comunicato ufficiale di Infocert, dal 2015 accreditata presso l’Agenzia per l’Italia digitale come gestore d’identità digitale e, appunto, tra i provider dello Spid (circa 1,8 milioni quelli attivi), noto sistema di accesso con identità digitale di cui si serve la pubblica amministrazione. Il cyberattacco è stato rilevato lo scorso 27 dicembre. Poco dopo, su Breachforums (un forum presente nel dark web in cui vengono scambiate le informazioni rubate), è comparso un messaggio in cui venivano messi in vendita i dati sottratti a Infocert al costo di circa 1.400 euro, con la possibilità di trattare per chi volesse il contenuto in esclusiva. L’autore del furto ha anche pubblicato un post con un campione di quanto sottratto all’azienda, quantificando il bottino in 5,5 milioni di dati esposti, tra cui 1,1 milioni di numeri di telefono e 2,5 milioni di indirizzi email. «I dati sono ancora privati, non sono stati venduti prima d’ora e potete essere i primi compratori», si legge nell’annuncio. Secondo alcune indiscrezioni, a esser stato violato sarebbe un database riguardante le richieste di assistenza dei clienti verso Infocert, gestite però da un servizio terzo. Indiscrezioni confermate ieri in un’ulteriore nota stampa diffusa dall’azienda, in cui viene ribadito «che la sicurezza e il funzionamento dei servizi Spid, firma digitale e Pec, oltre che di tutti gli altri servizi Infocert, non sono mai stati compromessi dall’illecita sottrazione di dati», che avrebbe invece «interessato i sistemi di un fornitore esterno, che gestisce una piattaforma di assistenza clienti utilizzata» dal customer care della società. «I dati interessati», continua, «sono limitati a quelli necessari per evadere le richieste di assistenza inviate dai clienti mediante il sistema di ticketing. Possiamo quindi confermare che, a oggi, contrariamente a quanto riportato da alcune fonti non ufficiali online, non è stata in alcun modo compromessa l’operatività, la sicurezza e l’integrità dei servizi di Infocert». «Sono ancora in corso analisi tecniche», conclude il comunicato, «che stiamo svolgendo con il massimo grado di approfondimento e insieme al nostro fornitore; contemporaneamente, stiamo procedendo con le opportune denunce e notifiche alle autorità competenti. Continueremo ovviamente a monitorare la situazione con la massima attenzione e a fornire aggiornamenti tempestivi ai nostri clienti».Benché non siano stati violati i sistemi di accesso con identità digitale, ed è fondamentale sottolinearlo, a preoccupare alcuni addetti ai lavori è il modo in cui potrebbero essere usati i dati sottratti. Attraverso di essi, infatti, potrebbe essere più facile, per gli autori delle cybertruffe, inviare messaggi credibili alle loro vittime, convincendole a cliccare su link pericolosi o a fornire informazioni personali. Si tratta di truffe note come phishing, tipicamente via email, smishing (via sms) e vishing (via chiamata vocale). Secondo l’ultimo report della polizia postale relativo al 2023, le frodi informatiche sono salite del 15% rispetto al 2022, con 917 denunce e oltre 40 milioni di euro sottratti, di cui 19 milioni appartenenti a grandi, medie e piccole imprese italiane.Quello che ha interessato Infocert, d’altra parte, non è l’unico attacco hacker degli ultimi giorni. Sabato, infatti, il gruppo hacker NoName ha colpito i siti degli aeroporti milanesi di Malpensa e Linate (gestiti dalla Sea) e il sito del ministero degli Esteri mediante un attacco Ddos (Distributed denial of service), ossia un’azione informatica che mira a paralizzare una rete incrementando in maniera massiccia il traffico di dati. «I russofobi italiani ottengono una meritata risposta informatica», ha scritto il collettivo hacker rivendicando l’attacco, che tuttavia non ha arrecato problemi all’operatività degli scali.<div class="rebellt-item col1" id="rebelltitem1" data-id="1" data-reload-ads="false" data-is-image="False" data-href="https://www.laverita.info/hacker-rubati-milioni-dati-spid-2670702925.html?rebelltitem=1#rebelltitem1" data-basename="i-terroristi-possono-trasformare-in-armi-i-nostri-oggetti-connessi" data-post-id="2670702925" data-published-at="1735591668" data-use-pagination="False"> «I terroristi possono trasformare in armi i nostri oggetti connessi» Alessandro Curioni è fondatore e presidente di Di.Gi. academy, azienda specializzata in cybersecurity, docente all’Università Cattolica e giornalista. Una voce autorevole a cui la Verità ha chiesto di commentare quanto accaduto nel caso Infocert, a partire dalle rassicurazioni dell’azienda sul fatto che sono stati sottratti dati soltanto da fornitori terzi e che nessuna compromissione ha riguardato gli Spid. «L’informazione è attendibile, è probabile che sia successo esattamente questo», ha commentato, «considerando che oggi la più grande preoccupazione riguarda proprio gli attacchi alla supply chain, cioè alla filiera dei fornitori, che è sempre più complessa, sempre più interconnessa e sempre più lunga. Non è un caso che le ultime normative europee, la Nis2, e il regolamento Dora per il sistema finanziario stressino molto il vincolo di questi soggetti a vigilare sulla loro filiera dei fornitori». Professore, i clienti che leggono la notizia possono dunque stare tranquilli? «Stare tranquilli è diverso. Gran parte delle truffe online ai danni delle persone sono proprio basate sulla credibilità dei messaggi che vengono inviati. Se io ho esfiltrato il suo numero di telefono, il suo nome e cognome, il suo indirizzo di posta elettronica, il suo codice fiscale e so che lei riceve dei servizi da Infocert, capisce che sono già in grado di mandarle un messaggio che a lei risulterà molto credibile? Se poi metto insieme altre informazioni, che magari arrivano da profili pubblici in rete o da altri data breach, io di lei posso saperne non dico quanto lei, ma poco ci manca». Quel genere di informazioni sottratte, numeri di telefono e indirizzi email, non sono già di per sé molto facili da rinvenire online, ormai? «Non sempre, e magari non in forma così strutturata. Qui si parla di milioni di identità, ognuna con associato il suo numero di telefono, la sua email e il suo codice fiscale. Poniamo per esempio che il signor Mario Rossi si sia registrato a Infocert con l’email aziendale: io so che ha un certo codice fiscale, che ha uno Spid, un certo numero di telefono e l’azienda in cui lavora. E allora io posso cercare di carpire, con un’email fatta particolarmente bene, la sua utenza e la sua password. Oppure posso fare delle semplici campagne di phishing: se invio email a 5 milioni e mezzo di persone, per bieca statistica, vogliamo che un paio di loro non ci caschino?». Come interpretare la corsa alla digitalizzazione alla luce dei recenti attacchi hacker? «La corsa alla digitalizzazione, in generale, ha lasciato indietro la sicurezza. Un po’ come quando motorizzarono il mondo e le auto montavano i freni delle biciclette. C’erano poche auto, non c’era bisogno di una patente, era tutto un po’ avventuroso. Ora, finché si è in pochi funziona, ma si provi a immaginare oggi un’auto progettata nei primi del Novecento che circola sulle nostre strade: la possibilità di sopravvivenza di quell’autista è prossima allo zero. Ecco, con la digitalizzazione abbiamo fatto un’operazione simile: abbiamo spinto al massimo sulla tecnologia senza immaginare che avesse bisogno di freni, di sistemi di sicurezza. Di conseguenza, noi non solo ci stiamo trascinando dietro un pregresso che conta milioni di sistemi obsoleti, vecchi, con misure di sicurezza inadeguate, un sacco di vulnerabilità, ma ci stiamo anche costruendo sopra. Magari con sistemi più sicuri, ma purtroppo la sicurezza del sistema nel suo complesso dipende dall’anello più debole della catena: la catena è forte tanto quanto il suo anello più debole». Sarebbe il caso di rallentare un attimo, quindi? «Potrebbe non essere un’idea sbagliata. La mia grande preoccupazione, al di là delle truffe, è se qualcuno dovesse avere la malsana idea di colpire oggetti. Oggi un’auto è molto più digitalizzata e connessa del nostro smartphone. Le nostre caldaie sono tutte smart, e così frigoriferi, lavatrici, lavastoviglie: oggetti che possono anche esplodere». Qui siamo nell’ordine del terrorismo… «Siamo in quell’ordine lì. Ci vorrebbe uno Stato garante, ma il problema è che l’Europa tecnologicamente è un moscerino, privo di un operatore che controlli una tecnologia dominante».