Infocert: cosa sappiamo del data breach subito dalla certification authority italiana

Non sono state giornate facili quelle passate dalla Certification Authority italiana InfoCert, una delle più importanti e ramificate d’Italia, che nei giorni scorsi ha subito uno di quegli ingenti furti di dati dei quali parliamo spesso su questo blog. Come ripetiamo da tempo, le informazioni che vengono trafugate dagli hacker, che solitamente le rivendono al miglior offerente all’interno di alcuni forum specializzati, sono il pane dei criminali online per qualsiasi tipo di attività fraudolenta, dalle campagne email al furto vero e proprio di denaro.

In data 27 dicembre 2024, nel dark web, è apparso l’annuncio di un pacchetto contenente un’ingente quantità di dati rubati all’azienda InfoCert, che come anticipato si occupa da anni del rilascio di identità digitali e servizi trust in generale e che ora appartiene al gruppo Tinexta. Il pacchetto trafugato sembra contenere informazioni di ben 5 milioni e mezzo di clienti e, per certificare l’autenticità dei dati, l’utente che ha bandito l’asta ne ha pubblicati una piccola quantità ma senza specificare il tipo di dato trafugato, limitandosi invece a spiegare l’importanza della vittima del data breach e dicendo che tra le informazioni rubate figurano più di un milione di numeri telefonici e due milioni e mezzo di caselle email.

Ovviamente InfoCert non è stata a guardare ed ha subito rilasciato una nota, nella quale ha spiegato che era stata pubblicata in modo non autorizzato una grande quantità di dati dei propri clienti ma specificando anche che ad essere stato violato era il sistema di un suo fornitore esterno. La nota poi prosegue aggiungendo anche che questa fuga di dati non porta assolutamente ad una compromissione dei sistemi InfoCert, essendosi limitata appunto a quelli del fornitore. Nei giorni successivi, nello specifico il 30 dicembre, c’è stato un aggiornamento che spiega come i dati rubati siano quelli che servono a richiedere assistenza tramite ticket, rimarcando nuovamente che non ci sono stati problemi alla sicurezza di InfoCert.

Gli esperti di cybersecurity, analizzando il file CSV pubblicato come sample del furto di dati, hanno notato che l’esfiltrazione dei dati è stata probabilmente fatta da qualche database di tipo SQL confermando anche la teoria che parla di un db del sistema dei ticket di assistenza ai clienti. I dati esportati, a guardare le righe del file, sarebbero moltissimi proprio perché aprendo una richiesta di assistenza tecnica devono essere forniti, solitamente, dati anagrafici, indirizzi, numeri telefonici e codici fiscali oltre a tutto il contenuto dei ticket e le eventuali risposte. Nonostante all’occhio meno esperto il furto di questi dati possa preoccupare meno rispetto, per esempio, ai dati delle carte di credito, il fatto che gli hacker possiedano queste informazioni deve essere visto con particolare attenzione, poiché conoscere il contenuto dei ticket che abbiamo potrebbe portare anche ad attacchi maggiormente mirati e ciò fa aumentare la possibilità di cadere in trappola.

L’ipotesi più accreditata alla base del data breach sembra essere, banalmente, quella di un mancato aggiornamento a seguito della scoperta di una falla di sicurezza nei server, cosa che potrebbe aver permesso di effettuare una semplice SQL injection, ovvero inserire stringhe di codice che consentono poi di rubare i dati. Prende quindi ancora più quota l’ipotesi del mancato aggiornamento dei server sui quali si trova l’applicativo del ticket system di InfoCert come problema alla base di tutto ciò che è accaduto. Vedremo nei prossimi giorni se ciò che abbiamo detto finora verrà confermato o se ci saranno altri aggiornamenti, ciò che si può consigliare da ora in avanti e di fare attenzione a tutte le email che vengono inviate da caselle apparentemente di InfoCert, specie se nel messaggio vengono avanzate richieste di accesso e l’inserimento di dati personali.

 

Fonte: 1