L’annuncio di InfoCert preoccupa gli utenti: l’azienda ha subito un furto dei dati, che sono finiti sul dark web.
Gli attacchi ad opera di cyber-criminali intenti ad impossessarsi delle informazioni personali degli utenti non sono una novità. Questa volta, nel mirino degli hacker ci è finita InfoCert, l’azienda impegnata nella gestione di identità digitali con soluzioni che garantiscono un alto livello di sicurezza. Come annunciato dalla stessa, i dati dei clienti sono stati pubblicati su un forum del dark web, mettendo a rischio la loro privacy.
Lo scorso 27 dicembre è stata riscontrata dai sistemi informatici di monitoraggio una violazione dei dati personali degli utenti. Sono stati messi in vendita 5,5 milioni di record rubati a InfoCert tramite un annuncio condiviso sul dark web. L’azienda ha sottolineato che l’operazione è “frutto di un’attività illecita” che ha interessato i sistemi di un fornitore terzo, in cui erano raccolte le informazioni dei clienti.
InfoCert ha avvisato gli user, specificando che attualmente si stanno svolgendo le indagini che permetteranno di procedere con “le necessarie denunce e notifiche alle Autorità competenti”. Precisiamo che il 27 dicembre non corrisponde alla data in cui il furto di dati è avvenuto, ma al giorno in cui l’azienda ha riscontrato sul dark web l’annuncio relativo alla vendita delle informazioni.
InfoCert, i dati degli utenti in vendita sul dark web: cosa succede ora
InfoCert si è impegnata negli accertamenti del caso, così da poter notificare al Garante della Privacy quanto accaduto entro le 72 ore dai rilevamenti dell’azienda. Alla fine del suo annuncio, quest’ultima ha fatto sapere ai clienti che provvederà – appena possibile – a “fornire ulteriori approfondimenti”.
Ovviamente, la preoccupazione tra gli utenti è alta. Soprattutto considerando che InfoCert viene utilizzata, tra le varie cose, anche per l’accesso allo SPID o per la firma digitale. Non sorprende, dunque, che in molti si stiano domandando quali siano i rischi che si corrono per via della violazione.
Ricordiamo che InfoCert figura come un Qualified Trust Service Provider (QTSP), ossia un fornitore di servizi fiduciari qualificati, oltre che un Identity Provider che fornisce identità digitali. Di conseguenza, l’azienda è tenuta a rispettare il regolamento eIDAS dell’Unione Europea. Questo prevede l’applicazione, da parte dei prestatori di servizi fiduciari, di misure adatte alla gestione dei rischi operativi aziendali, compresi quelli indiretti.
Tale normativa potrebbe essere letta anche in riferimento ai fornitori terzi, proprio come quello coinvolto dal data breach subito da InfoCert. Allo stesso tempo, il regolamento eIDAS stabilisce che le informazioni personali riguardanti servizi fiduciari vengano conservati separatamente dagli altri dati di cui il fornitore è in possesso.
Una norma che mira a garantire la tutela dalle informazioni degli utenti e ad evitare che questi ultimi possano essere vittime di violazione della privacy. Nel suo annuncio, InfoCert ha rassicurato i clienti spiegando che il furto di dati non ha “compromesso l’integrità dei sistemi” del servizio. Ciò vuol dire che la violazione non ha intaccato le credenziali di accesso (comprese le password) degli utenti.
