Ho. Mobile attaccato dagli hacker. Dati personali di 2,5 milioni di clienti italiani trovati in vendita sul darkweb
È di ieri sera la notizia diramata da un noto sito di sicurezza, Bank Security, riguardo una proposta di vendita trovata sul darkweb per l’intero database di clienti italiani dell’operatore Ho. Mobile.
All’interno del “pacchetto” erano presenti dati personali e dati telefonici di 2,5 milioni di clienti italiani, ma fortunatamente niente carte di credito. Nel frattempo, ancora nessuna conferma da parte degli operatori.
Questo è quello che è stato dichiarato, poco dopo cena, sull’account Twitter di Bank Security riguardo i dati di tutti i clienti di Ho. Mobile, operatore virtuale di Vodafone di recente diffusione: dopo un’attenta verifica è stata segnalata la presenza di materiali sensibili che vi andremo a descrivere.
A Threat Actor is selling a Database of the Italian mobile service provider ho. (https://t.co/N5IYO88bja) owned by @VodafoneIT 🇮🇹.
The dump allegedly includes 2,500,000 customers’ PII Data, Phone Numbers & ICCID that can be exploited for SIM swap attacks to empty Bank accounts. pic.twitter.com/yR193Mt3CS— Bank Security (@Bank_Security) December 28, 2020
Quali dati sono stati sottratti da Ho Mobile
La sottrazione dei dati sembrerebbe avvenuta per colpa di una vulnerabilità della piattaforma web o addirittura della app, ma fino a questo momento non abbiamo ancora la conferma ufficiale da parte di Vodafone stessa.
A quanto pare, Bank Security possederebbe un campione dei dati sottratti di soli 10 utenti che però ha rifiutato di diffondere per questione di privacy. Attraverso dei controlli incrociati, i dati sottratti sembrerebbero effettivamente reali: date di nascita, email, indirizzi e città, paese, provincia, numero civico, codice di avviamento postale, codice fiscale, codice cliente e dati della SIM.
All’interno della serie di dati non sono presenti password di nessun genere o dati di carte di credito, ma il vero valore di tutto il pacchetto è costituito proprio dai dati della SIM, specialmente per quanto riguarda l’ICCID, acronimo di Integrated Circuit Card-Identity.
Questo ICCID è in pratica il codice univoco segreto posseduto da ogni SIM che permette la portabilità del numero in abbinamento con l’indirizzo email, e chi dovesse entrare in possesso di questi due dati potrebbe trasferire il numero della persona malcapitata verso una nuova SIM (con un nuovo operatore) o per accedere a servizi di sicurezza che utilizzano l’autenticazione a due fattori.
L’autenticazione a due fattori, nello specifico, è un servizio di sicurezza che si serve del numero di telefono personale per inviare un codice di conferma della propria identità. Alcuni colossi come Google o Amazon utilizzano proprio l’autenticazione a due fattori, e chi dovesse entrare in possesso di questi dati sensibili potrebbe sfortunatamente cambiare la password dei due account senza verifica sul proprio smartphone, e quindi accedere senza autorizzazione.
Le conferme dell’operatore e quali soluzioni possibili
Nonostante siano già state molte le richieste di conferma fatte a Vodafone e a Ho. Mobile, restiamo ancora in attesa di una risposta ufficiale. Sul sito di Ho non è stata ancora inserita nessuna informazione sull’accaduto. Forse in attesa di verifiche prima di confermare un fatto così grave, l’unico soluzione per rimediare a questo danno sarebbe quella di sostituire immediatamente tutte le SIM dei 2,5 milioni di clienti, operando tramite sistemi informatici per sospendere la portabilità dei numeri fino a completa sostituzione.
Ho Mobile offre la sostituzione gratuita entro 24 mesi dall’acquisto in caso di malfunzionamento, quindi potrebbe essere già consigliabile rivolgersi al servizio clienti. Ovviamente, cambiando la SIM cambierebbe anche il codice ICCID, quindi nessuno potrebbe clonare la SIM e sfruttare l’autenticazione in 2 passaggi, fermo restano che ormai tutti gli altri dati personali rimarrebbero disponibili nel “pacchetto del darkweb”.
Noi seguiamo la vicenda da vicino, intanto, e vi informeremo non appena avremo nuove notizie o conferme su quanto accaduto. Nelle prossime ore, ci aspettiamo almeno una conferma o una dissentita da parte di Ho Mobile o di Vodafone e della strategia che vorranno attuare per risolvere questo disservizio ai suoi clienti.
