A differenza di quanto accade spesso con le violazioni ai sistemi informatici, la comunicazione di InfoCert è arrivata in maniera puntuale, in concomitanza con l’accertamento del data breach che ha riguardato 5,5 milioni di utenti del provider di servizi di identità digitale. Nell’effettuare la comunicazione, InfoCert ha anche fornito una versione coerente con le analisi indipendenti sino a quel momento fornite rispetto alle possibili cause del data breach. Come vi abbiamo già spiegato in un altro articolo del nostro monografico di oggi, infatti, è stata la stessa InfoCert a spiegare come la violazione sia avvenuta non direttamente attraverso i propri sistemi, ma attraverso quelli di un fornitore terzo.
LEGGI ANCHE > Come hanno fatto a ottenere i dati di 5,5 milioni di utenti di InfoCert
In data 27 dicembre u.s., in occasione delle continue attività di monitoraggio dei nostri sistemi informatici, è stata rilevata la pubblicazione non autorizzata di dati personali relativi a clienti censiti nei sistemi di un fornitore terzo. Tale pubblicazione è frutto di un’attività illecita in danno di tale fornitore, che non ha però compromesso l’integrità dei sistemi di InfoCert.
Nel confermare che sono in corso tutti gli opportuni accertamenti sul tema, anche al fine di eseguire le necessarie denunce e notifiche alle Autorità competenti, siamo fin da ora in grado di informare che nessuna credenziale di accesso ai servizi InfoCert e/o password di accesso agli stessi è stata compromessa in tale attacco.
La comunicazione lascia intendere che InfoCert abbia assolto gli obblighi di informativa presso il Garante della Privacy (cosa che dovrebbe avvenire in maniera automatica a ogni data breach, ma che purtroppo la cultura digitale di molte aziende, oggi, fa fatica ad assimilare) e che, in ogni caso, i suoi sistemi proprietari siano al sicuro. InfoCert ha anche aggiunto che, quando avrà ulteriori elementi a disposizione, potrà fornire altre comunicazioni aggiuntive per inquadrare al meglio il problema.
Al momento, però, è importante che gli utenti di InfoCert facciano una certa attenzione alle comunicazioni che riceveranno, sia telefonicamente, sia attraverso il proprio indirizzo mail. L’esposizione di dati come l’utenza telefonica e l’indirizzo di posta elettronica, infatti, comporterà inevitabilmente – nel caso di un riuscito acquisto del database messo in vendita sul dark web – fenomeni di smishing o di phishing che, con tecnologia sempre più raffinata, sono alla base delle principali truffe informatiche in cui gli utenti dei servizi digitali si imbattono pressoché quotidianamente. L’immissione di un grande quantitativo di dati personali estrapolati in maniera illecita è sempre foriero di un implementazione di campagne truffaldine. Chi ha lo Spid con InfoCert o chi beneficia di altri servizi messi a disposizione (dalla posta elettronica certificata alla firma digitale) farebbe bene a prestare molta attenzione a comunicazioni anomale da questo momento in poi.
L'articolo La reazione di InfoCert al data breach che l’ha colpita proviene da Giornalettismo.
