Il Cert-Agid ha recentemente segnalato un allarmante caso di data breach che coinvolge tre strutture alberghiere italiane.

Tra giugno e luglio 2025, un attore malevolo noto come “mydocs” ha compromesso i sistemi di queste strutture, sottraendo decine di migliaia di scansioni ad alta risoluzione di documenti d’identità, tra passaporti e carte d’identità, utilizzati dai clienti durante il check-in.

Il materiale è stato poi messo in vendita su un forum underground, confermando una tendenza già osservata in precedenti episodi. Il rischio infatti è quello legato allo smishing a tema Inps.

Dinamica dell’attacco e implicazioni tecniche

L’attaccante ha sfruttato vulnerabilità nei sistemi di gestione degli hotel, probabilmente legate a credenziali deboli, software non aggiornati o configurazioni errate dei database.

Sebbene i dettagli tecnici specifici non siano stati divulgati, è plausibile che l’accesso sia avvenuto tramite:

• SQL injection su portali di check-in non adeguatamente protetti;
• Credenziali esposte su server FTP o cloud storage mal configurati;
• Phishing mirato contro il personale amministrativo.

Un esempio di possibile IOC (Indicator of Compromise) rilevabile nei log dell’infrastruttura alberghiera potrebbe essere:

POST /checkin_form.php HTTP/1.1  
User-Agent: Mozilla/5.0 (compatible; mydocs-scraper/1.0)  
Payload: ' OR 1=1 --  

Rischi per le vittime e riutilizzo illecito

I documenti rubati sono un bersaglio ambito per attività fraudolente. Gli attori malevoli potrebbero utilizzarli per creare falsi d’identità, aprire linee di credito o condurre attacchi di social engineering.

Un caso emblematico è l’uso di questi dati per bypassare sistemi di autenticazione a due fattori (2FA) che si basano su documenti d’identità caricati digitalmente.

Ricordiamo il caso precedentemente osservato di furto di documenti mediante attacchi di tipo smishing a tema INPS, particolamente attivo nel mese di marzo 2025.

Misure di mitigazione per organizzazioni e cittadini

Per prevenire simili incidenti, le strutture ricettive dovrebbero:

• Crittografare i documenti archiviati, utilizzando standard come AES-256;
• Limitare l’accesso ai dati sensibili con politiche di least privilege;
• Monitorare tentativi di accesso anomali, ad esempio con tool come Wazuh o Elastic SIEM.

Chiunque abbia soggiornato in un hotel italiano nei mesi interessati dovrebbe verificare la presenza di attività sospette, come richieste di credito non autorizzate. È inoltre consigliabile attivare servizi di allerta per nuovi conti aperti a proprio nome, offerti da agenzie come Cifas o il Crif.

Questo episodio sottolinea l’importanza di un approccio proattivo alla cybersecurity, sia per le aziende che per i singoli individui.

La collaborazione con autorità come il Cert-Agid e la Polizia Postale è cruciale per identificare e neutralizzare rapidamente queste minacce. Al primo sentore di anomalia, non esitate a ingaggiare una segnalazione. E’ possibile utilizzare il portale dedicato del Commissariato di PS.