Data breach ho. (second brand Vodafone): più indizi fanno una prova. Si vuole mettere a tacere una situazione gravissima?


Ieri sera, come riportato anche dai nostri colleghi di MVNO News, è emerso che i dati di circa 2,5 milioni di clienti ho. Mobile (MVNO e second brand di Vodafone Italia) sono finiti in vendita nel dark web.

Oggi l’operatore, con una nota stampa diffusa nel pomeriggio ha dichiarato che “non ha evidenze di accessi massivi ai propri sistemi informatici che abbiano messo a repentaglio i dati della customer base. Abbiamo avviato in collaborazione con le autorità investigative le indagini per ulteriori approfondimenti”.

In pratica, per il momento l’operatore mobile virtuale ha messo le mani avanti, vuole evidentemente prendere tempo e approfondire la situazione (e le eventuali contromosse da mettere in campo).

Ma cosa è successo realmente? Stando a quanto pubblicato da Bank Security, team che in passato ha portato alla luce molti data breach, specialmente in ambito bancario (quindi è difficile considerarli inaffidabili), i dati di ben 2,5 milioni di clienti ho. sarebbero finiti nel dark web, in cerca di compratori.

Il database con tutti i dati sensibili di quelli che sembrano proprio essere clienti ho., è stato messo in vendita lo scorso 22 dicembre. Dagli screenshot forniti dallo stesso team di Bank Security, appare sempre più difficile si tratti di una bufala.

Oltretutto, proprio nella serata di oggi, chi ha messo in vendita il database in questione, ha anche pubblicato in chiaro 10 dei 2,5 milioni di nominativi.

Alcuni di questi dati sono stati messi a disposizione per le dovute verifiche e, una volta contattati, diversi utenti hanno confermato di essere titolari di una SIM ho. Mobile.

Il data breach appare quindi molto più di una semplice ipotesi, anche se per il momento il second brand di Vodafone Italia dichiara di non avere “evidenze di accessi massivi ai propri sistemi informatici”, in pratica non conferma ma nemmeno smentisce.

Tra l’altro, c’è chi fa anche notare come in passato il login all’area clienti e app di ho. era privo di sistemi che impedivano l’immissione continuativa di più password in un ristretto arco temporale, senza che intervenga alcun ban dell’IP da cui ci si connette o un blocco dell’account dopo innumerevoli tentativi.

Oggi invece, in caso di password errata, non si può andare oltre il terzo tentativo, o l’account viene bloccato.

Ma perché la situazione potrebbe essere più grave di quanto si può immaginare? Perché anche se nel database pubblicato lo scorso 22 dicembre non sono presenti dati come password o numeri di carte di credito, ci sono invece nomi e cognomi, indirizzi di residenza e fatturazione, ma soprattutto mail, numeri di telefono e ICCID delle SIM.

Questo significa che chi entra in possesso di queste informazioni (se non lo ha già fatto), potrà da una parte utilizzare milioni di email e numeri di telefono per attività di phishing (furto di dati finanziari o codici di accesso fingendosi una banca, forze dell’ordine etc) o addirittura procedere ad una sostituzione della SIM, spacciandosi per il titolare dell’utenza.

Nel secondo caso, la situazione si fa decisamente più pericolosa, visto che con una utenza telefonica ormai si fa tutto e via SMS si ricevono codici OTP per accedere alla propria home banking o anche ad account come quello di Amazon o Paypal, dove sono archiviate informazioni importanti, come i dati delle carte di pagamento (e questi sono solo alcuni esempi).

La speranza è che non si perda troppo tempo e venga definitivamente confermato o meno il data breach e si intervenga per tutelare 2,5 milioni di potenziali vittime di truffe.

Come tutelarsi

Le soluzioni sono diverse. Se si usa lo stesso numero di telefono per tutti i servizi bancari e per gli acquisti online, è bene verificare che tipo di protezione questi offrano e fare in modo di attivare forme di autenticazione che non si basino solo sull’invio di una password OTP via SMS.

In alternativa, se si vuole una soluzione più drastica ma efficace, basta chiedere la sostituzione della SIM o effettuare una portabilità verso altro gestore. In entrambe i casi, il numero verrà abbinato ad un nuovo ICCID e nessuno potrà più tentare una sostituzione della stessa a vostro nome.

Purtroppo rimane però il problema di fondo: cosa può essere fatto con i dati che sono stati venduti? Ad esempio, come già detto, con numero di telefono ed email, potrebbe aumentare l’attività di phishing (e lo spam sulla vostra casella di posta elettronica).

Aggiornamenti

Emergono ulteriori dettagli e informazioni che non fanno che confermare quanto temuto: i dati presenti nel database in vendita sono reali. La lista di clienti ho. presenti al suo interno è ulteriormente aumentata (qui sotto la fonte).

Fonte: Bank Security – via mvnonews.com


Commenta questa e le altre notizie sui nostri profili Facebook, X (ex Twitter), BlueSky, Mastodon o nella Community dedicata agli utenti iliad (che conta oltre 21.500 iscritti).

Puoi seguire Universo Free anche su Google News, cliccando sulla stellina da app e mobile o alla voce “Segui“. Le notifiche in tempo reale con i nostri aggiornamenti e le ultime notizie, sono inoltre disponibili unendoti al nostro canale Telegram e al nostro nuovo canale WhatsApp.

Universo Free è anche una comoda Web App gratuita che puoi portare sempre con te, scaricala subito sul tuo smartphone. Per segnalarci novità, anteprime, nuove aperture di store iliad, scrivici direttamente da qui.

Una risposta

  1. Alessandro D'Arpini ha detto:

    Ovviamente le Banche sono tenute ad implementare sistemi di sicurezza (un po’ pallosi a dire la verità) per i loro sistemi di accesso allo home banking. Non è che basta un OTP.
    Dietro le macchine però ci sono persone e chi ha in mano un terminale mobile, dovrebbe essere in grado di gestirlo al meglio. Purtroppo, a mio parere un 90% degli italiani non si sono resi conto che la tecnologia nasconde insidie a cui dobbiamo sommare la presenza di persone poco oneste (o anche solo superficiali) nei negozi. Per essere chiari, dalle parti della Stazione Termini, si può ancora ottenere una SIM intestata ad altri, con una semplicità disarmante.
    Per chiedere la sostituzione di una SIM comunque ci vuole la denuncia di smarrimento alle Forze dell’ordine e l’autenticazione del richiedente la nuova SIM.
    Che poi, per ragioni legate alla vendetta, a noi faccia piacere che in ho abbiano sistemi farlocchi, è un altro discorso. A quanto ammonta la sanzione a cui verranno sottoposti?