• 31 Ottobre 2024 6:25

Corriere NET

Succede nel Mondo, accade qui!

Denuncia su twitter: “Sul dark web i dati di due milioni e mezzo di utenti di Ho.Mobile”

Dic 29, 2020

I dati sensibili di due milioni e mezzo di utenti dell’operatore Ho.Mobile di Vodafone, sembrano essere stati esposti in vendita sul dark web. Se sarà confermato, quelle persone ora sono a rischio di truffe, ricatti di vario tipo.

Nomi, cognomi, email, indirizzo di casa, codice fiscale, partita iva, indirizzo di fatturazione, numero di telefono, stato di attivazione del servizio e anche codice ICCID, il codice che identifica la sim.

Ad affermarlo, gli esperti di cybersecurity Bank Security su Twitter, secondo cui sono dati rubati da criminali con un attacco in passato.

Ha pubblicato un esempio dei dati trafugati (anonimizzati) alla pagina https://pastebin.com/PPdr45Y1, per confermare quanto affermato, mentre Vodafone fa sapere di non avere al momento evidenze di attività illegali ai danni degli utenti e di stare indagando a riguardo.

“Ho.mobile non ha evidenze di accessi massivi ai propri sistemi informatici che abbiano messo a repentaglio i dati della customer base. Abbiamo avviato in collaborazione con le autorità investigative le indagini per ulteriori approfondimenti” fa sapere l’azienda.

Il principale rischio che gli utenti corrono, per attacchi di questo tipo, è il sim swap, che in Italia sono in forte crescita come rilevato di recente anche dall’Autorità garante delle comunicazioni.

I dati – se si confermerà il furto – sono sufficienti ai criminali per ottenere una sim intestata al nome della vittima. Ad esempio può dichiarare che la vecchia sim è stata rubata o smarrita. A volte usa un documento falso per farsi identificare o si mette d’accordo con un complice nel negozio. Ma può bastare dichiarare a voce la propria identità e confermarla con i vari dati rubati, incluso in codice della vecchia sim, perché le attuali regole non obbligano il controllo dell’identità in caso di semplice cambio sim (senza attivazione di nuovi contratti o servizi); motivo per cui l’Autorità intende cambiarle per renderle più tutelanti nei prossimi mesi.

Grazie alla sim intestata alla vittima, il criminale ottiene così il controllo su quel numero di telefono, dove potrà ricevere le password temporanee di accesso a vari servizi. Tra cui il conto corrente. È possibile così svuotarlo, ordinando dall’e-banking un bonifico. Tra le cronache degli ultimi mesi si riportano furti da 10mila a 50mila euro a Legnano, Torino, Roma, Cagliari. A dicembre la Polizia Postale ha riportato che con questa truffa i criminali sono riusciti ad accedere a profili NoiPa di dipendenti pubblici e su questa piattaforma cambiare l’iban di accredito degli stipendi.

“L’eventuale incidente risulterebbe tra i più importanti in Italia dall’entrata in vigore del regolamento europeo sulla privacy GDPR che prevede importanti sanzioni qualora fosse accertata una responsabilità dell’operatore di telefonia mobile”, spiega l’esperto di cybersecurity Pierluigi Paganini.

“Ci sarebbero ripercussioni importanti anche sotto il profilo della sicurezza degli utenti che potrebbero essere esposti ad attacchi di sim swapping- conferma Paganini”.

Tutti i servizi online che usano gli sms, per confermare l’accesso con una password temporanea, sono sensibili a questa truffa. L’Abi Lab, nello studio pubblicato nel 2019, riporta che il 90% degli istituti di credito ha segnalato tentativi di frode con sim swap e il 40% di questi ha subito perdite effettive. Finora l’unico modo di difendersi era evitare di usare l’sms come “secondo-fattore” di autenticazione e quindi preferire le app che generano il token (ossia la password temporanea). Non tutti i conti correnti lo permettono però.

Al minimo, gli esperti ora consigliano a tutti gli utenti ho.Mobile di spostare il secondo fattore su un numero diverso.

Una sim intestata ad altrui persona, inoltre, può essere utile per proteggere la propria identità in varie operazioni malavitose che richiedono l’uso di un cellulare.

La mole di dati che sarebbero stati rubati può essere sufficiente anche per altre, ormai classiche, truffe basate sul furto dell’identità. Se un criminale riesce a spacciarsi per la vittima, nei confronti di altre persone, banche o istituzioni, può ottenere vari vantaggi. Ad esempio ottenere un prestito o un finanziamento intestato a suo nome. Oppure organizzare truffe, ad esempio su eBay, sfruttando i dati trafugati per ottenere la fiducia di altri utenti.

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. Guarda la Policy

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close