Attacco hacker ad Ho Mobile e furto dati dei clienti – Come tutelarsi?

A molti utenti della compagnia low cost Ho Mobile, nella giornata del 6 Gennaio 2021, è arrivato un messaggio Sms con il quale, durante tutta la giornata, l’operatore telefonico low cost di Vodafone ha informato alcuni suoi clienti di un furto di dati subito dall’azienda.

Nomi, numeri di telefono, codici fiscali, email, indirizzi ma anche i dati tecnici delle Sim: l’entità del danno non è nota, ma in un comunicato stampa l’azienda rassicura che non sono coinvolti anche dati bancari o informazioni relative al traffico web e alle telefonate.

La caccia alla falla nei sistemi dell’operatore, su piazza da metà del 2018, è iniziata il 28 dicembre scorso, quando il profilo Twitter bank_security, specializzato nella ricerca di dati bancari in vendita nei meandri della rete, ha individuato l’annuncio di un utente anonimo che prometteva la vendita dei dati di 2,5 milioni di utenti Ho Mobile.

Per dimostrare la bontà delle informazioni in suo possesso, il commerciante ha messo a disposizione un “campione” contenente i profili di alcuni utenti che, contattati da La Stampa, hanno confermato la loro identità e le informazioni contenute nel documento.

Inizialmente la compagnia ha dichiarato che non risultava alcun accesso massivo di informazioni relative ai suoi clienti.

Tuttavia, la falla dev’essere stata trovata, dal momento che lo stesso operatore, il 4 gennaio, ha comunicato «di aver già sporto denuncia alla Autorità inquirente e informato il Garante della Privacy».

Tra i dati sottratti, anche i codici di identificazione univoca delle schede Sim – i cosiddetti codici Iccid – che sono tutti diversi e stampigliati su ogni scheda fisica. Un’informazione che, se unita ai dati personali dell’utente, potrebbe essere estremamente utile per realizzare truffe che prevedono la sostituzione del legittimo proprietario di un’utenza telefonica (Sim Swapping).

Per questa ragione Ho Mobile ha chiarito che chiunque lo desideri può fare richiesta di una scheda Sim nuova (quindi dotata di un nuovo codice Iccid) gratuitamente presso i rivenditori autorizzati, anche se l’azienda assicura di aver «già attivato ulteriori e nuovi livelli di sicurezza per mettere la clientela al riparo da potenziali minacce» e che «ulteriori azioni a protezione dei dati sottratti sono in corso di implementazione e verranno comunicate ai clienti».

Tuttavia, l’azienda non ha chiarito se l’annuncio di oggi sia direttamente correlato ai dati trovati in vendita pochi giorni fa sul dark web, né ha svelato la dimensione del furto di informazioni dei suoi clienti. Se l’allarme lanciato da bank_security dovesse rivelarsi fondato, l’anonimo venditore sul web sarebbe verosimilmente in possesso dei dati di tutti gli utenti di Ho Mobile.

Se non hai ricevuto una comunicazione ufficiale da parte di Ho Mobile, non devi fare nulla. Significa che i tuoi dati non sono stati sottratti.

Per chi invece dovesse aver ricevuto un messaggio da parte dell’operatore, l’azienda chiarisce che «non sono stati in alcun modo sottratti dati relativi al traffico (telefonate, SMS, attività web, etc.) né dati bancari o relativi a qualsiasi sistema di pagamento dei clienti», dunque non è richiesto il cambio di password o di altri identificativi. Inoltre, l’operatore ha predisposto misure particolari per prevenire truffe sulla portabilità e, a tale scopo, anche la sostituzione delle Sim può avvenire solo in presenza e non via posta.

Ma il vero problema è il phishing truffa nella quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale, che può trovare nei dati divulgati preziose informazioni utili per circuire gli utenti e convincerli a rilasciare informazioni preziose.

Alcune recenti segnalazioni raccolte ignari utenti sono stati oggetto di truffe bancarie telefoniche, dove finti operatori delle banche hanno chiamato gli utenti e chiesto per telefono di accedere al portale dell’istituto tramite un link finto, inviato via Sms. In tutti i casi, i truffatori avevano utilizzato dati personali delle vittime per convincerle della legittimità della chiamata.

Le ultime verifiche spettano ora alla Polizia postale, coinvolta da Ho Mobile per indagare l’accaduto, e dal Garante per la protezione dei dati personali, che dovrà accertare eventuali responsabilità dell’operatore nel proteggere i dati dei suoi utenti.

7 Gennaio 2021 · Giovanni Napoletano