Ho. Mobile attaccato dagli hacker. Dati personali di 2,5 milioni di clienti italiani trovati in vendita sul darkweb

ho-mobile-conferma-violazione
Condividi

È di ieri sera la notizia diramata da un noto sito di sicurezza, Bank Security, riguardo una proposta di vendita trovata sul darkweb per l’intero database di clienti italiani dell’operatore Ho. Mobile.
All’interno del “pacchetto” erano presenti dati personali e dati telefonici di 2,5 milioni di clienti italiani, ma fortunatamente niente carte di credito. Nel frattempo, ancora nessuna conferma da parte degli operatori.

Questo è quello che è stato dichiarato, poco dopo cena, sull’account Twitter di Bank Security riguardo i dati di tutti i clienti di Ho. Mobile, operatore virtuale di Vodafone di recente diffusione: dopo un’attenta verifica è stata segnalata la presenza di materiali sensibili che vi andremo a descrivere.


Quali dati sono stati sottratti da Ho Mobile

La sottrazione dei dati sembrerebbe avvenuta per colpa di una vulnerabilità della piattaforma web o addirittura della app, ma fino a questo momento non abbiamo ancora la conferma ufficiale da parte di Vodafone stessa.

A quanto pare, Bank Security possederebbe un campione dei dati sottratti di soli 10 utenti che però ha rifiutato di diffondere per questione di privacy. Attraverso dei controlli incrociati, i dati sottratti sembrerebbero effettivamente reali: date di nascita, email, indirizzi e città, paese, provincia, numero civico, codice di avviamento postale, codice fiscale, codice cliente e dati della SIM.

All’interno della serie di dati non sono presenti password di nessun genere o dati di carte di credito, ma il vero valore di tutto il pacchetto è costituito proprio dai dati della SIM, specialmente per quanto riguarda l’ICCID, acronimo di Integrated Circuit Card-Identity.

Questo ICCID è in pratica il codice univoco segreto posseduto da ogni SIM che permette la portabilità del numero in abbinamento con l’indirizzo email, e chi dovesse entrare in possesso di questi due dati potrebbe trasferire il numero della persona malcapitata verso una nuova SIM (con un nuovo operatore) o per accedere a servizi di sicurezza che utilizzano l’autenticazione a due fattori.

L’autenticazione a due fattori, nello specifico, è un servizio di sicurezza che si serve del numero di telefono personale per inviare un codice di conferma della propria identità. Alcuni colossi come Google o Amazon utilizzano proprio l’autenticazione a due fattori, e chi dovesse entrare in possesso di questi dati sensibili potrebbe sfortunatamente cambiare la password dei due account senza verifica sul proprio smartphone, e quindi accedere senza autorizzazione.

Le conferme dell’operatore e quali soluzioni possibili

Nonostante siano già state molte le richieste di conferma fatte a Vodafone e a Ho. Mobile, restiamo ancora in attesa di una risposta ufficiale. Sul sito di Ho non è stata ancora inserita nessuna informazione sull’accaduto. Forse in attesa di verifiche prima di confermare un fatto così grave, l’unico soluzione per rimediare a questo danno sarebbe quella di sostituire immediatamente tutte le SIM dei 2,5 milioni di clienti, operando tramite sistemi informatici per sospendere la portabilità dei numeri fino a completa sostituzione.

Ho Mobile offre la sostituzione gratuita entro 24 mesi dall’acquisto in caso di malfunzionamento, quindi potrebbe essere già consigliabile rivolgersi al servizio clienti. Ovviamente, cambiando la SIM cambierebbe anche il codice ICCID, quindi nessuno potrebbe clonare la SIM e sfruttare l’autenticazione in 2 passaggi, fermo restano che ormai tutti gli altri dati personali rimarrebbero disponibili nel “pacchetto del darkweb”.

Noi seguiamo la vicenda da vicino, intanto, e vi informeremo non appena avremo nuove notizie o conferme su quanto accaduto. Nelle prossime ore, ci aspettiamo almeno una conferma o una dissentita da parte di Ho Mobile o di Vodafone e della strategia che vorranno attuare per risolvere questo disservizio ai suoi clienti.


Condividi

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *