Cosa sappiamo del presunto furto di dati dei clienti di ho. mobile

Il 29 dicembre diversi giornali hanno diffuso la notizia di un presunto furto di dati dei clienti della compagnia telefonica italiana ho., di proprietà di Vodafone. Questi articoli facevano riferimento a un numero molto alto di utenti a cui sarebbero stati rubati dati personali. Molti giornali hanno scritto che gli utenti a rischio sarebbero 2,5 milioni ma in realtà, al momento, non è possibile stabilire con certezza a quante persone siano stati sottratti i dati. Ho. ha smentito che ci siano stati accessi esterni ai propri database, ma diversi utenti hanno segnalato di aver effettivamente subito il furto dei dati.

La segnalazione del furto dei dati era stata fatta martedì su Twitter dal canale di esperti di cybersecurity Bank Security che aveva anche pubblicato una serie di esempi dei dati che sarebbero stati trafugati, oscurando quelli personali. Bank Security aveva scritto che i dati erano in vendita nel dark web e che il furto avrebbe potuto riguardare “presumibilmente” 2 milioni e mezzo di dati personali dei clienti. Quindi Bank Security ha ipotizzato che il furto potrebbe riguardare, come bacino potenziale, 2 milioni e mezzo di dati personali, e non 2 milioni e mezzo di clienti, come scritto da diversi giornali.

A Threat Actor is selling a Database of the Italian mobile service provider ho. (https://t.co/N5IYO88bja) owned by @VodafoneIT 🇮🇹.

The dump allegedly includes 2,500,000 customers' PII Data, Phone Numbers & ICCID that can be exploited for SIM swap attacks to empty Bank accounts. pic.twitter.com/yR193Mt3CS

— Bank Security (@Bank_Security) December 28, 2020

Tra i dati personali trafugati ci sarebbero nomi, email, indirizzi di casa del lavoro, codici fiscali, partite iva, numeri di telefono, ma anche il codice ICCID, cioè quello che identifica la SIM e che ne permette la portabilità. Ho. mobile, con un comunicato, ha smentito che ci sia stato un attacco, e un conseguente furto dei dati di Ho. mobile: «Con riferimento ad alcune indiscrezioni pubblicate da organi di stampa – scrive la compagnia nel comunicato – ho. mobile non ha evidenze di accessi massivi ai propri sistemi informatici che abbiano messo a repentaglio i dati della customer base. Abbiamo avviato in collaborazione con le autorità investigative le indagini per ulteriori approfondimenti».

Nonostante la smentita di Ho. mobile, diversi utenti hanno segnalato sui social network di riconoscere i propri dati in quelli pubblicati da Bank Security, confermando che il furto in effetti ci sarebbe stato, anche se non è possibile al momento quantificarne le dimensioni.

https://t.co/bImvqHy7V9, ho avuto conferma da due dei dieci utenti della lista pubblicata che i dati sono corretti e che quindi il dataleak è avvenuto, almeno per quei dieci; il che non prova che sia avvenuto anche per i 2,5 milioni

Vodafone continua a indagare

— alessandro longo (@AlessLongo) December 29, 2020

I rischio per i clienti a cui siano stati rubati i dati personali è soprattutto quello che con un termine tecnico viene definito sim swap. Si tratta di un attacco informatico che permette di avere accesso al numero di telefono del legittimo proprietario e violare determinate tipologie di servizi online che usano proprio il numero di telefono come sistema di autenticazione. In sostanza i dati personali rubati nel presunto attacco a ho. mobile basterebbero agli hacker per creare una nuova SIM intestata a un cliente a cui sono stati sottratti i dati.

Utilizzando la nuova SIM intestata alla vittima del furto, l’hacker potrebbe controllarne il numero di telefono e usarlo per ricevere i codici di autentificazione a due fattori, un sistema di sicurezza necessario per l’accesso a diversi servizi, tra cui quelli di e-banking. Ottenuto l’accesso, potrebbe disporre del denaro sul conto corrente ed effettuare bonifici. Chi ha abilitato il ricevimento dei codici di autenticazione via SMS è a rischio per questa truffa. L’Abi Lab, il centro di ricerca e innovazione per la banca promosso dall’ABI (Associazione Bancaria Italiana), in un suo studio pubblicato nel 2019, ha scritto che il 90 per cento degli istituti di credito ha segnalato tentativi di frode con sim swap e il 40 per cento di questi ha subito perdite effettive.

Il primo dicembre l’Autorità garante delle comunicazioni (Agcom) ha pubblicato una delibera con nuove regole per rendere più sicuro il cambio SIM, proprio con la finalità di proteggere gli utenti dallo sim swap. La delibera, che entrerà in vigore nel 2021, prevede che per richieste di cambio sim per via telematica, «oltre all’identificazione, come previsto dalle norme vigenti, dovrà essere previsto l’invio anche della copia della medesima documentazione richiesta in caso in cui ci si rivolga al dealer. La procedura di inserimento dati dovrebbe garantire, comunque, l’impossibilità di finalizzare la stessa se non vengono caricati a sistema la scansione dei documenti citati».