Un attore malevolo ha pubblicato un annuncio su BreachForums, portale del deep-web noto per la compravendita di dati rubati, dichiarando di possedere informazioni su 5,5 milioni di utenti Infocert SpA, azienda del gruppo Tinexta specializzata in certificazione digitale e identità SPID rimasta vittima di un attacco hacker emerso alcuni giorni fa e causato da una vulnerabilità nel sistema backend, sfruttata probabilmente tramite un attacco di tipo SQL injection. Per questi dati, il cybercriminale ha fissato un prezzo di partenza di 1500 dollari, condividendo un campione per dimostrare l’autenticità dei dati in suo possesso.

Il campione comprende informazioni in formato CSV, presumibilmente estratte da un database SQL-like associato al sistema di ticketing utilizzato da Infocert per la gestione delle richieste di assistenza. Tra i dati esposti figurano nomi, cognomi, email, numeri di telefono, codici fiscali, motivi della richiesta di supporto e dettagli delle interazioni tra clienti e operatori.

In un comunicato, Infocert ha confermato di aver rilevato il 27 dicembre una pubblicazione non autorizzata di dati personali relativi a clienti, specificando che tali informazioni provengono dai sistemi di un fornitore terzo. L’azienda assicura che l’integrità dei propri sistemi non è stata compromessa e che nessuna password o credenziale di accesso ai servizi Infocert è stata violata.

Businessman,Touching,At,Lock,With,A,Shield,To,Safeguard,Violation

La mole di dati esposti, anche se apparentemente innocua, può rappresentare un’arma potente per attacchi mirati di phishing. Informazioni dettagliate come le conversazioni con gli operatori e i motivi di contatto aumentano infatti in modo significativo la possibilità che queste truffe vadano a segno e, anche se la password non sembrano essere state violate, conviene cambiarle anche per mandare un segnale chiaro ai dipendenti che le usano.

Secondo le prime analisi tecniche, il sistema di ticketing basato su PHP potrebbe essere stato vulnerabile a exploit conosciuti, a causa di configurazioni inadeguate o aggiornamenti mancanti. Gli header del server, ad esempio, mostrano mancanze che avrebbero potuto mitigare l’attacco, come la cattiva gestione del Content-Encoding impostato su “deflate,” suscettibile ad attacchi di tipo breach.