Ho mobile presunti dati dei clienti in vendita sul dark web. Vodafone Nessuna evidenza di accesso ai sistemi

Ho mobile, presunti dati dei clienti in vendita sul dark web. Vodafone: “Nessuna evidenza di accesso ai sistemi”

La Republica News
Pubblicità
Pubblicità

123007706 d9a94b32 0719 43f1 846a aa2c37987dc0

I dati sensibili di due milioni e mezzo di utenti dell’operatore Ho.Mobile di Vodafone potrebbero essere stati trafugati e messi in vendita sul dark web. Se confermato, gli utenti interessati ora sono a rischio di truffe e ricatti. Tra le informazioni che potrebbero essere state compromesse, secondo quanto riferiscono gli esperti di cybersecurity Bank Security su Twitter, ci sono nomi, cognomi, email, indirizzo di casa, codice fiscale, partita iva, indirizzo di fatturazione, numero di telefono, stato di attivazione del servizio e anche il codice ICCID, il codice che identifica la sim e che ne permette la portabilità.

Dell’attacco e del furto non ci sono al momento reali conferme. Ma Bank Security, per sostenere quanto riferito, ha pubblicato un esempio dei dati trafugati (anonimizzati) alla pagina https://pastebin.com/PPdr45Y1. L’operatore Vodafone, proprietaria del brand  Ho.Mobile, fa sapere di non avere al momento evidenze di attività illegali ai danni degli utenti e di aver aperto un’indagine a riguardo: “Ho.Mobile non ha evidenze di accessi massivi ai propri sistemi informatici che abbiano messo a repentaglio i dati della customer base. Abbiamo avviato in collaborazione con le autorità investigative le indagini per ulteriori approfondimenti” fa sapere l’azienda.

Se l’attacco fosse confermato, il principale rischio per gli utenti sarebbe il sim swap, un hackeraggio in forte crescita in Italia come rilevato di recente anche dall’Autorità garante delle comunicazioni. I dati sarebberp sufficienti ai criminali per ottenere una sim intestata al nome della vittima. Ad esempio dichiarando che la vecchia sim è stata rubata o smarrita. A volte i criminali usano un documento falso per farsi identificare, nei tentativi di sottrazione fisica delle sim. Ma per riuscirici può bastare dichiarare a voce la propria identità e confermarla con i vari dati rubati, incluso il codice della vecchia sim, perché le attuali regole non obbligano gli operatori al controllo dell’identità in caso di semplice cambio sim (senza attivazione di nuovi contratti o servizi). Un motivo per cui l’Autorità intende intervenire in maniera più tutelante nei prossimi mesi.

I rischi. Grazie alla sim intestata alla vittima, il criminale ottiene così il controllo su quel numero di telefono, dove potrà ricevere le password temporanee di accesso a vari servizi. Tra cui il conto corrente. È possibile così svuotarlo, ordinando dall’e-banking un bonifico. Tra le cronache degli ultimi mesi si riportano furti da 10mila a 50mila euro in tutta Italia. A dicembre la Polizia Postale ha riportato che con questo tipo di truffa, alcuni criminali sono riusciti ad accedere a profili NoiPa di dipendenti pubblici, e su questa piattaforma poi hanno potuto cambiare l’iban di accredito degli stipendi. Tutti i servizi online che usano gli sms per confermare l’accesso con una password temporanea, sono sensibili a questa truffa. L’Abi Lab, nello studio pubblicato nel 2019, riporta che il 90% degli istituti di credito ha segnalato tentativi di frode con sim swap e il 40% di questi ha subito perdite effettive. Finora l’unico modo di difendersi era evitare di usare l’sms come “secondo-fattore” di autenticazione e quindi preferire le app che generano il token (ossia la password temporanea). Non tutti i conti correnti lo permettono però.

“L’eventuale incidente risulterebbe tra i più importanti in Italia dall’entrata in vigore del regolamento europeo sulla privacy GDPR che prevede importanti sanzioni qualora fosse accertata una responsabilità dell’operatore di telefonia mobile”, spiega Pierluigi Paganini, docente al master cybersecurity presso la Luiss di Roma. “Ci sarebbero ripercussioni importanti anche sotto il profilo della sicurezza degli utenti che potrebbero essere esposti ad attacchi di sim swapping”, conferma Paganini. Una sim intestata ad altrui persona, inoltre, può essere utile per proteggere la propria identità in varie operazioni malavitose che richiedono l’uso di un cellulare. La mole di dati che sarebbero stati rubati può essere sufficiente anche per altre, ormai classiche, truffe basate sul furto dell’identità. Se un criminale riesce a spacciarsi per la vittima, nei confronti di altre persone, banche o istituzioni, può ottenere vari vantaggi. Ad esempio ottenere un prestito o un finanziamento intestato a suo nome. Oppure organizzare truffe online sui siti di compravendita, sfruttando i dati trafugati per ottenere la fiducia di altri utenti.

Come proteggersi. Come prima misura, in attesa di conferme sulla veridicità dell’attacco, il consiglio degli esperti agli utenti Ho.Mobile è di spostare il secondo fattore di autenticazione su un numero diverso.



Go to Source