La reazione di InfoCert al data breach che l’ha colpita
L'azienda ha confermato l'avvenuta violazione e ha anche cercato di individuarne la fonte. Ha tuttavia confermato che i suoi sistemi proprietari non sono a rischio
30/12/2024 di Gianmichele Laino
UPDATE: InfoCert ci ha fornito un ulteriore aggiornamento rispetto alla sua posizione, che riportiamo di seguito e che – per prossimità temporale – supera le informazioni contenute in questo articolo. Nella fattispecie InfoCert specifica quanto segue:
«Ribadiamo che la sicurezza e il funzionamento dei servizi SPID, firma digitale e PEC, oltre che di tutti gli altri servizi InfoCert, non sono mai state compromesse dall’illecita sottrazione di dati che ha interessato i sistemi di un fornitore esterno, che gestisce una piattaforma di assistenza clienti utilizzata dal nostro Customer Care. I dati interessati sono limitati a quelli necessari per evadere le richieste di assistenza inviate dai clienti mediante il sistema di ticketing. Possiamo quindi confermare – prosegue la nota – che, ad oggi, contrariamente a quanto riportato da alcune fonti non ufficiali online, non è stata in alcun modo compromessa l’operatività, la sicurezza e l’integrità dei servizi di InfoCert. Come già comunicato, lo scorso 27 dicembre abbiamo rilevato tempestivamente che sono stati resi disponibili su una piattaforma dedicata alla compravendita di dati acquisiti abusivamente, alcune informazioni relative a nostri clienti. In collaborazione con il nostro fornitore, abbiamo subito posto in essere tutte le misure tecniche per verificare l’evento e tutelare i nostri utenti, contenendo l’attività illecita. Sono ancora in corso – conclude InfoCert – analisi tecniche, che stiamo svolgendo con il massimo grado di approfondimento e insieme al nostro fornitore; contemporaneamente, stiamo procedendo con le opportune denunce e notifiche alle Autorità competenti. Continueremo ovviamente a monitorare la situazione con la massima attenzione ed a fornire aggiornamenti tempestivi ai nostri clienti».
—-
A differenza di quanto accade spesso con le violazioni ai sistemi informatici, la comunicazione di InfoCert è arrivata in maniera puntuale, in concomitanza con l’accertamento del data breach che ha riguardato 5,5 milioni di utenti del provider di servizi di identità digitale. Nell’effettuare la comunicazione, InfoCert ha anche fornito una versione coerente con le analisi indipendenti sino a quel momento fornite rispetto alle possibili cause del data breach. Come vi abbiamo già spiegato in un altro articolo del nostro monografico di oggi, infatti, è stata la stessa InfoCert a spiegare come la violazione sia avvenuta non direttamente attraverso i propri sistemi, ma attraverso quelli di un fornitore terzo.
LEGGI ANCHE > Come hanno fatto a ottenere i dati di 5,5 milioni di utenti di InfoCert
La risposta di InfoCert e la sua comunicazione all’indomani del data breach
In data 27 dicembre u.s., in occasione delle continue attività di monitoraggio dei nostri sistemi informatici, è stata rilevata la pubblicazione non autorizzata di dati personali relativi a clienti censiti nei sistemi di un fornitore terzo. Tale pubblicazione è frutto di un’attività illecita in danno di tale fornitore, che non ha però compromesso l’integrità dei sistemi di InfoCert.
Nel confermare che sono in corso tutti gli opportuni accertamenti sul tema, anche al fine di eseguire le necessarie denunce e notifiche alle Autorità competenti, siamo fin da ora in grado di informare che nessuna credenziale di accesso ai servizi InfoCert e/o password di accesso agli stessi è stata compromessa in tale attacco.
La comunicazione lascia intendere che InfoCert abbia assolto gli obblighi di informativa presso il Garante della Privacy (cosa che dovrebbe avvenire in maniera automatica a ogni data breach, ma che purtroppo la cultura digitale di molte aziende, oggi, fa fatica ad assimilare) e che, in ogni caso, i suoi sistemi proprietari siano al sicuro. InfoCert ha anche aggiunto che, quando avrà ulteriori elementi a disposizione, potrà fornire altre comunicazioni aggiuntive per inquadrare al meglio il problema.
Al momento, però, è importante che gli utenti di InfoCert facciano una certa attenzione alle comunicazioni che riceveranno, sia telefonicamente, sia attraverso il proprio indirizzo mail. L’esposizione di dati come l’utenza telefonica e l’indirizzo di posta elettronica, infatti, comporterà inevitabilmente – nel caso di un riuscito acquisto del database messo in vendita sul dark web – fenomeni di smishing o di phishing che, con tecnologia sempre più raffinata, sono alla base delle principali truffe informatiche in cui gli utenti dei servizi digitali si imbattono pressoché quotidianamente. L’immissione di un grande quantitativo di dati personali estrapolati in maniera illecita è sempre foriero di un implementazione di campagne truffaldine. Chi ha lo Spid con InfoCert o chi beneficia di altri servizi messi a disposizione (dalla posta elettronica certificata alla firma digitale) farebbe bene a prestare molta attenzione a comunicazioni anomale da questo momento in poi.