Attacco hacker InfoCert: rubati oltre 5 milioni di dati personali. Chiedi con noi il risarcimento

InfoCert, una delle principali aziende italiane che fornisce lo Spid e, più in generale, servizi di identità digitale e certificazioni è stata vittima di un attacco hacker. L’azienda ha denunciato il furto di oltre 5 milioni di dati personali, successivamente messi in vendita sul dark web. Secondo quanto comunicato dalla stessa InfoCert in una nota ufficiale, l’attacco non ha compromesso direttamente i sistemi proprietari, ma è stato perpetrato ai danni di un fornitore terzo. Sul tema è intervenuto anche il Garante Privacy che ha chiesto chiarimenti all’azienda che, a sua volta, ha fornito due indirizzi mail a cui scrivere per ricevere informazioni e spiegato un po’ più nel dettaglio quali dati sono stati rubati. 

Chiediamo un risarcimento per gli utenti coinvolti

A seguito di questo episodio Altroconsumo ha inviato una diffida ad Infocert chiedendo di fornire nel dettaglio la descrizione delle misure messe in atto (o in corso di adozione) e di ripristinare la sicurezza del trattamento dei dati; inoltre chiediamo il riconoscimento a tutti gli utenti colpiti da questa "fuga di dati" un ristoro economico non inferiore a 400 euro, per lo stato di agitazione e preoccupazione generato in loro dall’evento. Se sei un cliente InfoCert sostieni le nostre richieste e chiedi il risarcimento.

Attacco hacker InfoCert: cosa è successo

L’attacco è stato rilevato da InfoCert il 27 dicembre, lo stesso giorno in cui un cybercriminale ha pubblicato su BreachForums, un noto forum del dark web, un messaggio in cui offriva i dati rubati al prezzo di circa 1.400 euro. Per dimostrare l’autenticità delle informazioni, l’hacker ha condiviso un campione dei dati sottratti. Tuttavia, l’azienda ha rassicurato “che nessuna credenziale di accesso ai servizi InfoCert e/o password di accesso agli stessi è stata compromessa”.

Quali dati sono stati rubati nell'attacco

Il furto include numerosi dati personali, tra cui:

• indirizzi email: circa 2,5 milioni;
• numeri di telefono: circa 1,1 milioni.

I dati sono stati offerti in vendita sul dark web, ma InfoCert ha spiegato che i propri sistemi non sono stati direttamente violati perché il problema riguarderebbe un fornitore terzo. “Le indagini che stiamo svolgendo – spiega l’azienda in una ulteriore comunicazione ufficiale – allo stato, non hanno rilevato alcuna compromissione dei servizi relativi a Spid, Pec e firma digitale, che restano pienamente sicuri e operativi. Sulla base delle analisi svolte fino ad ora le tipologie di dati personali oggetto dell’esfiltrazione potrebbero consistere nei dati abitualmente comunicati in sede di richiesta di supporto quali, ad esempio, dati identificativi, dati di contatto, dati fiscali e codici cliente”.

Cosa è InfoCert

Tutti, quando proviamo a utilizzare lo Spid per accedere a qualche sito, abbiamo notato tra le opzioni disponibili anche “InfoCert”. Si tratta di uno dei principali provider italiani di Spid (Sistema pubblico di identità digitale) e una delle maggiori autorità di certificazione in Europa. Parte del gruppo Tinexta, l'azienda offre servizi di:

• firma digitale;
• posta elettronica certificata (Pec);
• soluzioni di identità digitale.

Quali misure ha adottato l'azienda

Nella comunicazione agli utenti, Infocert spiega che, non appena ha rilevato la violazione, “si è immediatamente attivata per analizzare quanto accaduto, accertando la non compromissione dei servizi fiduciari qualificati, adottando tutte le misure possibili per scongiurare le conseguenze negative di tale attacco verso i propri clienti, anche mediante l’interessamento delle Autorità competenti”.

Le indagini non si sono ancora concluse e quindi non sono ancora chiare “le modalità che hanno consentito tale attacco”. L’azienda ha quindi messo a disposizione degli utenti due indirizzi mail per essere contattata da chi avesse bisogno di ulteriori informazioni:

• richieste.privacy@legalmail.it
• dpo_tinexta@legalmail.it

Come proteggersi dopo il furto di dati a InfoCert

Per proteggere i propri dati, si possono adottare alcune misure preventive:

• monitorare comunicazioni sospette: email o sms inaspettati potrebbero essere tentativi di phishing;
• non cliccare su link e allegati, a meno che non si sia certi della provenienza e prestare attenzione ai mittenti delle comunicazioni ricevute;
• non fornire a terzi codici di sicurezza, neanche telefonicamente;
• cambiare le password: utilizzare credenziali robuste e uniche per ciascun servizio;
• attivare l’autenticazione a due fattori: per aggiungere un ulteriore livello di sicurezza.

A questa pagina, una serie di consigli su come difendersi dalle truffe online (via email, sms, attraverso link fraudolenti, ecc.).

L’intervento del Garante Privacy

In seguito all’episodio si è attivato anche il Garante per la protezione dei dati personali che, il 3 gennaio, ha inviato a Infocert “una richiesta di informazioni a seguito della notifica di data breach effettuata dalla società alla fine di dicembre”, come si legge in una nota ufficiale. "La violazione, che ha riguardato i sistemi informatici di un fornitore esterno, potrebbe aver comportato la perdita di riservatezza dei dati personali di un numero molto elevato di interessati". Entro il 13 gennaio, Infocert ha dovuto "fornire al Garante della Privacy copia degli atti che regolano i rapporti con il fornitore esterno e informazioni in merito ai trattamenti di dati personali coinvolti nella violazione". Vedremo se arriveranno anche sanzioni o altri Provvedimenti.