Leggi questo articolo grazie alle donazioni di Emanuele Beffa, Antonio Fedele Martina.
♥ Partecipa anche tu alle donazioni: sostieni SaggiaMente, sostieni le tue passioni!

Nella nottata di ieri è stata diffusa una notizia che nessuno vorrebbe mai leggere: l’intero database clienti di ho. (l’operatore virtuale low cost di Vodafone) è disponibile per l’acquisto su canali illegali, esponendo, così, i dati personali degli utenti. Preciso subito una cosa: parlerò sempre e solo di dati personali e non di dati sensibili, o meglio, particolari, perché effettivamente nel database sono contenute solo informazioni di tipo comune, ma, comunque, foriere di grossi, enormi problemi per l’operatore e per i suoi utenti.

Infatti, oltre ai dati anagrafici dei clienti, il database (qui il link alla sua struttura pubblicata su Pastebin) contiene due informazioni importanti come l’ICCID della SIM e il numero di telefono dell’utenza associata e ciò consente a qualche malintenzionato di poter eseguire il cosiddetto swap attack, ossia di sostituirsi ad un utente clonando la sua SIM. È vero che la rete, riconoscendo due SIM con lo stesso ICCID e lo stesso numero di telefono, dovrebbe impedire l’uso della seconda dopo qualche minuto, ma nel frangente è possibile che l’attaccante possa accedere ai servizi con autenticazione a due fattori in uso alla vittima, creando ingenti danni. Immaginiamo cosa possa succedere se il criminale sia in possesso delle credenziali di accesso all’account PayPal o del suo internet banking (magari perché rinvenute in seguito ad altri data breach). Ancora, il criminale potrebbe avere vita facile nell’ottenere l’accesso alle chat su Whatsapp o Telegram, scoprendo dettagli della vita privata che le vittime non vorrebbero diffondere, ricattandole in tal senso.

Bisogna sottolineare come l’attaccante potrebbe anche procedere autonomamente alla richiesta di portabilità del numero di telefono della vittima verso operatori telefonici con minor attenzione verso la sicurezza dei clienti, di fatto impedendogli ogni controllo sulla propria utenza telefonica.

Per il momento ho. ha negato la vicenda con uno stringato comunicato stampa, annunciando di aver avviato comunque delle indagini per verificare eventuali perdite di dati, anche se, a norma di GDPR, ove l’azienda dovesse riscontrare tali problemi, avrebbe solo 72 ore per comunicare l’accaduto all’Autorità Garante per la Protezione dei Dati Personali e soprattutto, ai suoi clienti, affinché costoro possano correre ai ripari e tutelarsi in tempi utili. Nei prossimi giorni, inoltre, la società dovrà dimostrare a detta Autorità di aver posto in essere tutte le misure di sicurezza, logiche ed organizzative, per prevenire il data breach ed evitare anche pesanti sanzioni. L’operatore, inoltre, dovrebbe chiedere all’AGCOM di essere autorizzato a bloccare la portabilità verso altri operatori, di modo da poter sostituire immediatamente le SIM dei propri utenti.

Cosa possono fare i clienti di ho.?

Ecco un breve vademecum di consigli minimi di sicurezza:

  1. Evitare di urlare ai quattro venti sui social di essere clienti ho. (è come dire: ho perso le chiavi di casa sullo zerbino innanzi alla porta, entrate pure e fate quello che volete);
  2. Dissociare immediatamente la propria utenza telefonica dai servizi di internet banking, da PayPal, Stripe o simili;
  3. Cambiare immediatamente le credenziali di accesso a tutti i servizi a cui è associata l’utenza telefonica di ho. (potrebbero essere oggetto di altri data breach);
  4. Aspettare la conferma di ho. e l’evolversi della vicenda, di modo eventualmente da procedere nei confronti dell’operatore con una richiesta di risarcimento danni, sia per la diffusione dei propri dati personali sia per il disagio nel dover mettere in pratica le soluzioni prospettate.

Cambiare l’operatore telefonico potrebbe essere un’ulteriore via, ma giova ricordare che le richieste di portabilità sono limitate e, ove l’AGCOM dovesse bloccarle per ragioni di sicurezza, si rischierebbe di rimanere nel limbo fra una compagnia telefonica e l’altra. Nel caso vi fossero sviluppi vi terremo prontamente aggiornati, ma, nel frattempo, se siete clienti ho. correte velocemente ai ripari.

Elio Franco

Editor - Sono un avvocato esperto in diritto delle nuove tecnologie, codice dell'amministrazione digitale, privacy e sicurezza informatica. Mi piace esplorare i nuovi rami del diritto che nascono in seguito all'evoluzione tecnologica. Patito di videogiochi, ne ho una pila ancora da finire per mancanza di tempo.

Commenti controllati Oltre a richiedere rispetto ed educazione, vi ricordiamo che tutti i commenti con un link entrano in coda di moderazione e possono passare diverse ore prima che un admin li attivi. Anche i punti senza uno spazio dopo possono essere considerati link causando lo stesso problema.