La vicenda di Ho Mobile
I ricercatori della società di sicurezza informatica Bank Security, il 28 dicembre 2020, via Twitter, hanno denunciato la messa in vendita nel dark web, in data 21 dicembre 2020, di un database contenente i dati personali di circa 2,5 milioni di utenti di Ho Mobile, un provider che offre servizi di telefonia low cost di proprietà di Vodafone.
Bank Security, nel medesimo tweet, ha comunicato che in tale archivio sono contenute informazioni personali, numeri di telefono, codici fiscali e ICCID (codici identificativi delle SIM) degli utenti.
In un primo momento, l’operatore ha smentito con una nota ufficiale quanto riportato online, per poi ritornare sui suoi passi pochi giorni fa.
In un comunicato pubblicato il 4 gennaio 2021, infatti, il provider ha fornito ulteriori informazioni confermando la violazione denunciata:
“Dalle ulteriori verifiche effettuate, che sono tuttora in corso, emerge che sono stati sottratti illegalmente alcuni dati di parte della base clienti con riferimento solo ai dati anagrafici e tecnici della SIM. L’azienda comunica che non sono stati in alcun modo sottratti dati relativi al traffico (sms, telefonate, attività web, etc.), né dati bancari o relativi a qualsiasi sistema di pagamento dei propri clienti”.
Vodafone bloccata dal Garante Privacy: stop alle telefonate ed agli sms promozionali illeciti
Nella nota, inoltre, Ho Mobile ha comunicato di aver adottato ulteriori misure di sicurezza per poter mettere a riparo le informazioni dei propri clienti che, in ogni caso, possono procedere alla sostituzione della SIM.
Attraverso tale sostituzione infatti i codici ICCID, contenuti nel database in vendita e necessari ad identificare in modo univoco le SIM, non potrebbero essere utilizzati perché associati a SIM disattivate.
Quali sono i rischi per gli utenti? SIM Swapping e Phishing
Il rischio principale derivante da tale attacco è rappresentato dal SIM Swapping, una pratica attraverso la quale illecitamente ci si può sostituire all’intestatario della SIM per poter ricevere SMS per l’autenticazione a due fattori.
Sempre più frequentemente, infatti, negli ultimi anni, per poter accedere a servizi e portali, viene utilizzato un tipo di autenticazione che si concretizza in due passaggi:
- Digitare nome utente e password;
- Inserire il codice temporaneo (one time password) ricevuto via SMS per poter completare il login.
I truffatori, dunque, riuscirebbero, attraverso il SIM Swapping, controllando le SIM degli utenti, ad accedere a tutti i servizi che si servono di tali modalità di autenticazione, tra i quali spiccano i servizi bancari.
Ho Mobile, sul tema, rassicura i propri clienti, affermando che non potrebbe verificarsi, in alcun caso, una sostituzione della SIM a propria insaputa:
“Per effettuare una sostituzione della SIM serve un documento di identità e una denuncia in caso di furto o smarrimento. Non è quindi fattibile utilizzando solo i seriali. Il frodatore deve quindi procurarsi un documento di identità e una denuncia falsi. Abbiamo attivato ulteriori misure per individuare eventuali frodatori all’intero dei punti vendita in fase di Sostituzione SIM”.
Un ulteriore rischio è rappresentato dal Phishing: i truffatori, fingendosi istituti di credito o aziende che forniscono servizi di vario genere, potrebbero contattare la vittima per ottenere pagamenti o raccogliere credenziali di accesso a servizi bancari. Tale truffa, generalmente, avviene attraverso e-mail che, riferendo problemi di registrazione o di altra natura, invitano l’utente a fornire i propri dati di accesso al servizio.
Telemarketing aggressivo: il Garante sanziona Vodafone per 12 milioni e 250 mila euro.
Misure adottate da Ho Mobile
Ho Mobile ha attuato tutte lemisure previste dal GDPR per far fronte a tale violazione. Come si legge nella nota, infatti, il provider ha comunicato la violazione al Garante della Privacy (art. 33 GDPR) e sta provvedendo a contattare tutti i clienti convolti (art. 34 GDPR), riconoscendo, dunque, che “la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.
Constatato un corretto comportamento ex post, resta da capire se le misure preventive adottate da Ho Mobile fossero conformi alle prescrizioni del GDPR. Ai sensi degli artt. 32 e 25 del Regolamento UE, infatti, titolari e responsabili del trattamento devono adottare tutte le misure tecniche e organizzative necessarie a garantire un livello di sicurezza adeguato.
Marta Strazzullo