Un grande attacco hacker ha colpito InfoCert, uno dei principali gestori autorizzati dal governo italiano per la gestione dello Spid, l’identità digitale che ormai ci accompagna da un po’. L’azienda ha confermato la violazione degli account, definendola un accesso “illecito” ai dati sensibili di circa 5,5 milioni di utenti. Nel momento in cui scriviamo, QuiFinanza ha verificato il funzionamento dell’app Infocert e risulta ancora fuori uso. Gli italiani che quindi utilizzano lo Spid tramite questo fornitore sono impossibilitati a farlo e potrebbero essere tra i tantissimi i cui dati sensibili sono stati violati. L’azienda ha rassicurato comunque che nessuna credenziale di accesso o password ai servizi InfoCert è stata compromessa. Vediamo cosa sappiamo nel dettaglio.
Violati i dati di 5,5 milioni di clienti Infocert
Dopo l’attacco hacker del 28 dicembre agli aeroporti di Milano Linate e Malpensa, ora un altro caso clamoroso in Italia. In un comunicato ufficiale, la stessa InfoCert, che si definisce la più grande Certification Authority in Europa, parte del gruppo Tinexta, con sede in Italia e operazioni in 12 Paesi, tra Europa e America Latina, ha spiegato cos’è accaduto:
In data 27 dicembre u.s., in occasione delle continue attività di monitoraggio dei nostri sistemi informatici, è stata rilevata la pubblicazione non autorizzata di dati personali relativi a clienti censiti nei sistemi di un fornitore terzo.
Tale pubblicazione è frutto di un’attività illecita in danno di tale fornitore, che non ha però compromesso l’integrità dei sistemi di InfoCert.
Nel confermare che sono in corso tutti gli opportuni accertamenti sul tema, anche al fine di eseguire le necessarie denunce e notifiche alle Autorità competenti, siamo fin da ora in grado di informare che nessuna credenziale di accesso ai servizi InfoCert e/o password di accesso agli stessi è stata compromessa in tale attacco. Sarà nostra cura fornire ulteriori approfondimenti non appena possibile.
Gli hacker potrebbero aver sfruttato una vulnerabilità nel sistema di gestione dei ticket di assistenza agli utenti. Come ormai sappiamo, lo Spid serve per accedere ad esempio agli oltre 5mila servizi della Pubblica amministrazione, come Inps e Agenzia delle entrate, per utilizzare l’app Io, per richiedere bonus, per partecipare a concorsi, ma anche a siti di realtà private, per gestire pagamenti, informazioni personali utili e molto altro.
Spid, firma digitale e Pec InfoCert non sono stati violati
Lunedì 30 dicembre alle 19.15, Infocert ha pubblicato una nuova comunicazione, rassicurando gli utenti che Spid, firma digitale e Pec InfoCert non sono stati compromessi:
Confermando che l’integrità e la sicurezza dei servizi InfoCert, in particolare Spid, Pec e firma digitale, restano pienamente garantite, ribadiamo che l’illecita sottrazione di dati ha interessato i sistemi di un fornitore esterno, che gestisce una piattaforma di assistenza clienti utilizzata dal nostro Customer Care.
I dati coinvolti sono, ad oggi, limitati alle informazioni connesse alla gestione delle richieste di assistenza clienti avanzate tramite il sistema di ticketing.
In collaborazione con il fornitore, Infocert fa sapere anche che ha immediatamente adottato tutte le misure tecniche per verificare e contenere l’evento, predisposto una serie di analisi tecniche approfondite per esaminare l’accaduto e avviato la notifica al Garante della Privacy, tutelando gli interessi dei clienti:
Stiamo monitorando costantemente e con la massima attenzione la situazione e restiamo impegnati nella tutela dei nostri Clienti con assoluta tempestività. Eventuali aggiornamenti saranno prontamente comunicati.
InfoCert ha sempre sottolineato di rispettare alti standard di sicurezza per permettere di navigare e accedere online con la propria identità digitale in tutta tranquillità. Mette a disposizione l’autenticazione a due fattori (password e OTP) che dovrebbero proteggerci dalle truffe online.
Cosa fare per proteggersi
In attesa di ulteriori chiarimenti da parte di InfoCert, i clienti sono invitati a:
- controllare le proprie credenziali e segnalare eventuali attività sospette
- evitare di rispondere a email o messaggi provenienti da fonti sconosciute, che potrebbero essere tentativi di phishing
- sempre, cambiare password periodicamente e utilizzare autenticazione a due fattori sempre dove possibile.
Per chi non lo sapesse, è comunque possibile ottenere lo Spid senza necessariamente registrarsi presso un Identity provider. Tutte le info utili per farlo le trovate qui.
