Due nuovi incidenti di sicurezza colpiscono settori molto diversi ma accomunati da una stessa criticità: la protezione dei dati attraverso ecosistemi complessi e dipendenti da utenti, fornitori e infrastrutture distribuite. In Francia il servizio di messaggistica governativo Tchap, sviluppato per garantire comunicazioni sicure all’interno della pubblica amministrazione, subisce una grave violazione che porta all’esfiltrazione di oltre 13,5 GB di documenti, circa 650.000 messaggi e informazioni relative a più di 73.000 account. A Hong Kong, invece, la fintech SoFi conferma una compromissione che interessa la controllata SoFi Securities (Hong Kong) Limited, dove un accesso non autorizzato a un database gestito da un fornitore esterno espone potenzialmente dati dei clienti. Entrambi gli episodi mostrano come la sicurezza moderna non dipenda esclusivamente dalla robustezza delle piattaforme tecnologiche, ma anche dalla gestione degli accessi, dalla protezione delle credenziali e dal controllo dell’intera catena di fornitori e utenti autorizzati.
Cosa leggere
Tchap colpita da una delle più gravi violazioni del settore pubblico francese
L’incidente che coinvolge Tchap assume particolare rilevanza perché interessa una piattaforma sviluppata specificamente per le comunicazioni della pubblica amministrazione francese. Creata nel 2018 da DINUM in collaborazione con ANSSI, la piattaforma utilizza il protocollo Matrix ed è riservata agli enti pubblici francesi. Con oltre 300.000 utenti attivi mensili e più di 500.000 download, Tchap rappresenta uno degli strumenti centrali per la collaborazione tra funzionari, amministrazioni e organismi governativi. L’importanza della piattaforma aumenta ulteriormente nell’agosto 2025 quando il primo ministro François Bayrou ne impone l’utilizzo per le comunicazioni professionali dei dipendenti pubblici, scoraggiando l’uso di applicazioni straniere. Proprio questa centralità rende la violazione particolarmente delicata. Secondo le informazioni confermate dalle autorità francesi, un attaccante riesce a compromettere un account valido e a utilizzare tale accesso per raccogliere una grande quantità di informazioni archiviate all’interno del sistema. L’incidente dimostra che anche piattaforme progettate per ambienti governativi possono diventare vulnerabili quando gli attacchi sfruttano credenziali legittime anziché vulnerabilità tecniche dirette.
ANSSI individua l’accesso non autorizzato
La scoperta dell’attacco avviene grazie all’attività di monitoraggio dell’ANSSI, l’agenzia francese responsabile della sicurezza dei sistemi informativi. L’organismo identifica attività sospette sul server matrix.agent.education.tchap.gouv.fr e avverte immediatamente DINUM, che avvia la procedura di risposta agli incidenti. Gli investigatori individuano un account compromesso utilizzato per generare richieste anomale verso la piattaforma. L’account viene rapidamente disattivato per interrompere l’accesso dell’attaccante e limitare ulteriori esfiltrazioni. Parallelamente vengono avviate analisi approfondite dei log per ricostruire la sequenza degli eventi e determinare con precisione quali dati siano stati consultati o scaricati. La rapidità dell’intervento consente di contenere la minaccia, ma non impedisce che una significativa quantità di informazioni venga già sottratta. L’episodio conferma quanto sia importante individuare rapidamente attività anomale anche quando provengono da credenziali apparentemente legittime.
Social engineering e compromissione dell’account
Secondo le informazioni emerse durante le prime fasi dell’indagine, l’attaccante avrebbe ottenuto l’accesso iniziale attraverso una tecnica di social engineering che ha permesso di compromettere un account appartenente allo shard education della piattaforma. L’utilizzo di credenziali valide ha consentito di muoversi all’interno dell’infrastruttura senza generare immediatamente allarmi riconducibili a un’intrusione esterna tradizionale. L’autore dell’attacco sostiene inoltre di avere avuto accesso a credenziali LDAP hard-coded che sarebbero state esposte all’interno di uno script PowerShell condiviso da un dirigente dell’amministrazione fiscale francese. Sebbene questa parte della ricostruzione sia ancora oggetto di verifica, l’episodio evidenzia un problema ricorrente nella sicurezza moderna: la presenza di credenziali incorporate in script, configurazioni o documenti condivisi. Anche in ambienti altamente protetti, la gestione impropria delle credenziali può trasformarsi in un punto di ingresso per attori malevoli.
Oltre 13,5 GB di dati e 650.000 messaggi esfiltrati
Le informazioni diffuse dalle autorità indicano una portata significativa della violazione. L’attaccante dichiara di aver scaricato oltre 13,5 GB di documenti e file multimediali, insieme a circa 650.000 messaggi provenienti dalla piattaforma. Le informazioni raccolte riguarderebbero inoltre più di 73.000 account, includendo indirizzi email, metadati relativi ai dispositivi, dati organizzativi e collegamenti a riunioni. Uno degli aspetti più delicati emersi durante l’analisi riguarda la gestione degli allegati. Secondo quanto riportato, i file condivisi attraverso Tchap risultavano accessibili tramite URL che potevano essere scaricati senza ulteriori token di autenticazione una volta ottenuto il collegamento corretto all’interno dei messaggi. Questa caratteristica avrebbe facilitato l’estrazione massiva dei contenuti da parte dell’attaccante. Sebbene l’analisi sia ancora in corso, il volume delle informazioni coinvolte rende l’incidente uno dei più significativi registrati negli ultimi anni all’interno del settore pubblico francese.
Le contromisure adottate da DINUM
Dopo la scoperta della compromissione, DINUM avvia immediatamente una serie di misure di contenimento e comunicazione. Tutti gli utenti della piattaforma ricevono una notifica ufficiale che ricorda le regole di utilizzo di Tchap e sottolinea che le stanze pubbliche non sono progettate per ospitare informazioni sensibili o dati personali. L’amministrazione ribadisce che documenti confidenziali e informazioni riservate devono essere condivisi esclusivamente attraverso conversazioni private. Contestualmente prosegue l’analisi dei log per determinare con precisione quali contenuti siano stati consultati e quali utenti possano essere stati coinvolti. L’incidente viene inoltre notificato alla CNIL, l’autorità francese per la protezione dei dati personali, per valutare eventuali implicazioni in materia di privacy e conformità normativa. Le autorità francesi lavorano anche per verificare che l’attacco non abbia interessato altri shard della piattaforma Matrix utilizzata da Tchap.
Un rischio per l’intero ecosistema pubblico francese
La violazione mette in evidenza una problematica che riguarda tutte le amministrazioni moderne: la difficoltà di garantire la riservatezza delle comunicazioni quando il numero di utenti cresce fino a centinaia di migliaia di persone. Anche sistemi progettati con criteri elevati di sicurezza possono essere esposti a compromissioni se gli attaccanti riescono a ottenere credenziali valide. L’episodio arriva inoltre pochi mesi dopo altri incidenti che hanno coinvolto enti pubblici francesi, alimentando il dibattito sulla protezione delle infrastrutture digitali dello Stato. Le autorità francesi stanno valutando ulteriori misure di controllo sugli accessi, gestione delle credenziali e monitoraggio delle attività sospette per evitare episodi simili in futuro. La vicenda conferma che la sicurezza delle piattaforme governative dipende sempre più dalla capacità di individuare tempestivamente comportamenti anomali e di limitare il valore operativo di un singolo account compromesso.
SoFi conferma un breach nella controllata di Hong Kong
Mentre la Francia affronta la violazione di Tchap, la fintech SoFi conferma un incidente che interessa la propria controllata SoFi Securities (Hong Kong) Limited. La società comunica di avere rilevato il 30 aprile 2026 un accesso non autorizzato a un database gestito da un fornitore esterno. L’incidente coinvolge quindi un’infrastruttura di terze parti e non direttamente i sistemi centrali dell’azienda. Nonostante ciò, la violazione potrebbe avere conseguenze per i clienti della divisione hongkonghese specializzata in servizi di investimento e gestione titoli. Al momento della comunicazione ufficiale, SoFi precisa che l’indagine è ancora in corso e che non dispone di informazioni definitive sulle categorie di dati eventualmente coinvolte. La società sceglie comunque di informare i clienti e di attivare misure di monitoraggio rafforzate per ridurre il rischio di utilizzi fraudolenti delle informazioni eventualmente compromesse.
Un attacco che evidenzia i rischi dei vendor terzi
L’aspetto più significativo dell’incidente riguarda il coinvolgimento di un vendor esterno, elemento che riflette una tendenza ormai consolidata nel panorama della sicurezza informatica. Le organizzazioni moderne affidano frequentemente a fornitori terzi la gestione di database, servizi cloud, infrastrutture applicative e piattaforme di supporto. Questa interdipendenza amplia però la superficie di attacco complessiva. Anche se i sistemi interni dell’azienda restano protetti, una vulnerabilità o una compromissione presso un fornitore può avere conseguenze dirette sui dati dei clienti. Nel caso di SoFi, la società conferma di avere immediatamente coinvolto specialisti esterni di cybersecurity per analizzare l’incidente e coordinare la risposta tecnica. Un portavoce dell’azienda evita di fornire dettagli sul numero di clienti coinvolti, sull’identità del fornitore o sull’eventuale presenza di richieste estorsive, segno che l’indagine è ancora in una fase preliminare.
Le misure adottate per proteggere i clienti
SoFi attiva una serie di misure preventive per ridurre i rischi derivanti dall’incidente. La società introduce controlli aggiuntivi sugli account potenzialmente interessati e rafforza le procedure di verifica durante le interazioni con il supporto clienti. Gli utenti ricevono comunicazioni dirette nelle quali viene raccomandato di modificare le password, attivare l’autenticazione a due fattori e monitorare attentamente eventuali attività sospette sui propri conti. Viene inoltre ricordata l’importanza di diffidare da email inattese, messaggi di phishing e richieste di informazioni personali provenienti da soggetti che potrebbero tentare di sfruttare l’incidente per condurre campagne fraudolente. Queste raccomandazioni riflettono una prassi consolidata nella gestione delle violazioni di dati, soprattutto quando non è ancora possibile stabilire con precisione quali informazioni siano state effettivamente esposte.
Il settore fintech continua a essere un bersaglio privilegiato
L’incidente che coinvolge SoFi conferma come il settore finanziario continui a rappresentare uno degli obiettivi più appetibili per i criminali informatici. Le piattaforme fintech gestiscono dati personali, informazioni finanziarie e asset digitali che possono avere un elevato valore economico sul mercato criminale. La crescente dipendenza da fornitori esterni e infrastrutture cloud rende inoltre più complessa la gestione del rischio. Le aziende devono monitorare non soltanto la propria sicurezza interna, ma anche quella dell’intero ecosistema di partner e fornitori. L’episodio di Hong Kong dimostra come la supply chain digitale sia ormai parte integrante della superficie di attacco di qualsiasi organizzazione. La capacità di valutare, controllare e verificare continuamente i livelli di sicurezza dei fornitori diventa quindi una componente essenziale delle strategie di protezione moderne.
Due incidenti diversi, una stessa lezione sulla sicurezza
I casi di Tchap e SoFi mostrano modalità di compromissione differenti ma convergono verso una conclusione comune. Nel primo caso l’attacco sfrutta un account valido ottenuto tramite social engineering; nel secondo colpisce un database gestito da un fornitore esterno. In entrambi gli scenari, però, il problema non riguarda una vulnerabilità tecnica particolarmente sofisticata, bensì la gestione degli accessi e delle relazioni di fiducia. Le organizzazioni moderne devono proteggere non soltanto le proprie infrastrutture, ma anche credenziali, utenti, partner e fornitori. La sicurezza non può più essere considerata un problema esclusivamente tecnologico. Richiede controllo continuo, monitoraggio dei comportamenti, verifica delle identità e capacità di reagire rapidamente quando un elemento della catena viene compromesso. Tchap e SoFi dimostrano che anche piattaforme strategiche e aziende finanziarie strutturate possono diventare vulnerabili quando un singolo punto di fiducia viene sfruttato dagli attaccanti.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
