Come hanno fatto a ottenere i dati di 5,5 milioni di utenti di InfoCert

A quanto pare, il problema del furto di dati di 5,5 milioni di utenti InfoCert non riguarda prettamente il provider di servizi per l’identità digitale (tra cui lo Spid), ma un fornitore di terze parti a cui InfoCert si appoggia per gestire alcune operazioni, come quella del ticketing. L’analisi emerge dalle prime evidenze del sample pubblicato sul dark web dall’utente PieWithNothing, dal comunicato di InfoCert con cui dà evidenza della violazione subita, da alcune ispezioni indipendenti (come quella di Cybersecurity360) che hanno cercato di fare luce sul problema.

LEGGI ANCHE > Ci siamo persi i dati di InfoCert

Violazione InfoCert, un problema legato a un fornitore di terze parti

L’utente che ha pubblicato il sample sul dark web si è limitato, al momento, a mettere in vetrina 24 righe dei dati in suo possesso (tra questi dati, stando alle sue descrizioni, ci sarebbero 1,1 milioni di numeri di telefono e 2,5 milioni di indirizzi e-mail). La modalità con cui sono costruite queste 24 righe fanno pensare a una esportazione da un database SQL-like. Il linguaggio SQL, infatti, è esattamente quello utilizzato dai developer per creare, gestire e amministrare database attraverso delle query. Solitamente, questo tipo di linguaggio – per provider come InfoCert – sono utilizzati anche per il Ticketing System. InfoCert, stando alle sue dichiarazioni, si appoggia a un fornitore terzo per gestire le richieste che gli utenti fanno all’azienda, sia per risolvere problemi, sia per monitorare la propria situazione a livello di pagamento di servizi.

Il fatto che si tratti di un servizio di ticketing viene confermato anche dalla presenza, accanto ai dati personali degli utenti, del motivo collegato alla richiesta di contatto, oltre alle comunicazioni che sono state effettuate tra il cliente e l’operatore. I database SQL hanno una vulnerabilità che può essere sfruttata attraverso il sistema dell’SQL injection: un input non controllato, inserito nel sistema da un operatore malevolo, può portare non soltanto all’alterazione di un database, ma anche al download di tutti i dati in esso contenuto. Cosa che sembra essere avvenuta in questo caso specifico. Dunque, non si tratta di una tecnica particolarmente complessa, ma ampiamente prevedibile, con un database che – per la sua stessa struttura – si espone quasi naturalmente a questo tipo di criticità. Ovviamente, una volta risolta la crisi collegata al data breach, sarà opportuno per InfoCert riflettere sulla gestione di terze parti del servizio di ticketing, soprattutto per evitare che questi e altri problemi più gravi possano ripetersi in futuro.