“Non giudico le persone dai loro errori ma dalla loro voglia di rimediare.”
Bob Marley
Nella tarda serata di lunedì 28 dicembre, l’account Twitter @Bank_Security twitta:
Il primo ad accorgersene sembra essere Paolo Attivissimo, figura nota dell’ambiente cyber italiano, che molto cautamente e sempre via Twitter, rilancia la notizia invitando alla cautela: un leak di queste proporzioni, se fosse confermato, probabilmente avrebbe conseguenze decisamente pesanti per l’operatore telefonico Ho. di VEI Srl.
Inizia così la lunga notte, e successiva giornata, in cui si susseguono –da parte di ricercatori del settore– notizie in merito al leak. Anche alcune testate giornalistiche, forse un po’ troppo frettolosamente, rilanciano la notizia mantenendo la classica formula dubitativa del “si dice che”.
Mentre la notizia si propaga velocemente sul Web, anche la pagina Facebook di ho-mobile viene presa d’assalto da clienti preoccupati. Al momento, l’unica risposta alle domande di chiarimento sembra essere “ho.mobile non ha evidenze di accessi massivi ai propri sistemi informatici che abbiano messo a repentaglio i dati della customer base” confermando peraltro l’avvio di ulteriori approfondimenti in collaborazione con le autorità.
Nel frattempo c’è chi, come il giornalista ed esperto ICT Alessandro Longo, ha effettuato una indagine personale sui dati dei 10 “malcapitati” clienti di Ho. che sono ritrovati i propri dati personali “spiattellati sul web”:
AGGIORNAMENTO DEL 4.01.2021
Lunedì 4 gennaio 2021, con una Comunicazione sul sito web di Ho-mobile, viene confermato il data breach:
“Nessuna sottrazione di dati di traffico né bancari” come confermato sin da subito: il data breach è relativo a dati personali e tecnici relativi agli utenti e relative SIM, come confermato dalla stessa Ho-mobile poche righe dopo (“Dalle ulteriori verifiche effettuate, che sono tuttora in corso, emerge che sono stati sottratti illegalmente alcuni dati di parte della base clienti con riferimento solo ai dati anagrafici e tecnici della SIM.“).
Continuo pertanto a consigliare, come la stessa Ho-mobile sottolinea, di effettuare il cambio carta SIM, gratuitamente.
Non posso esimermi dallo stigmatizzare quello che mi pare solo uno squallido tentativo di giustificare l’accaduto, con quella evitabile frase “il COVID-19 ha intensificato i crimini informatici“. Ha stato il COVID19?
Nel mentre, è stato inviato un SMS a tutti gli utenti presumibilmente coinvolti nella violazione:
Ti scriviamo per informarti che purtroppo ho. Mobile, come numerose altre aziende, e’ rimasta vittima di crimini informatici che si sono intensificati durante la pandemia. Da analisi approfondite, tuttora in corso e in stretta collaborazione con le Autorita’ inquirenti, e’ emerso che e’ stata sottratta illegalmente una parte dei tuoi dati con riferimento solo ai dati anagrafici e dati tecnici della tua SIM. Non c’e’ stata alcuna sottrazione di dati di traffico (telefonate, SMS, attivita’ web, etc.) ne’ di dati bancari o relativi ai tuoi sistemi di pagamento. Abbiamo immediatamente attivato ulteriori e nuovi livelli di sicurezza per mettere tutti i clienti al riparo dalla minaccia di potenziali frodi. Potrai comunque richiedere in qualsiasi momento la sostituzione gratuita della SIM presso i punti vendita autorizzati ho. Mobile. Per maggiori dettagli vai su ho-mobile.it/comunicazione.
Anche in questa comunicazione, notare la frase “come numerose altre aziende“. Un tentativo piuttosto puerile, a mio modesto modo di vedere, di minimizzare le responsabilità. Sono sicuro che anche il Garante della Privacy ne terrà debitamente conto.
Entra in gioco il GDPR…
Mentre attendiamo ulteriori notizie ufficiali sulla vicenda, ricordo che il Regolamento Europeo sulla Protezione dei Dati Personali (GDPR), all’art. 33 “Notifica di una violazione dei dati personali all’autorità di controllo“, prevede che:
Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Considerando le informazioni trapelate in merito al contenuto del leak, ovvero PII (Personal Identification Information) quali nome, cognome, codice fiscale, indirizzo di residenza e numero di telefono, a cui si aggiungono i dati tecnici relativi alle SIM card come l’ICCID (su cui torneremo qualche riga più sotto), qualora ovviamente fossero confermate attendibili, direi che c’è tutta l’urgenza di capire cosa è successo e di notificare in fretta al Garante.
Inoltre, sempre il GDPR prevede anche di effettuare la notifica a tutti gli interessati: nel caso l’incidente fosse confermato, tutti i clienti Ho (tra cui ci sono anche alcuni miei conoscenti e familiari) riceveranno una comunicazione in merito.
Sono un cliente. Cosa posso fare, nel frattempo?
Come prima cosa inviterei alla calma: secondo le informazioni che stanno circolando, ammesso ovviamente che tutto sia confermato, il rischio più grave è quello di subire un attacco sim-swapping. Fortunatamente, si può evitare richiedendo un “cambio carta SIM” a Ho. Mobile: è una operazione di routine, che avviene in pochi minuti e permette di mantenere sia operatore che numero di telefono ma cambiando il fatidico ICCID, l’identificativo univoco della scheda SIM (stampigliato sul dorso della stessa).
Suggerisco di effettuare un rapido cambio carta nel caso si utilizzi l’utenza per autenticarsi su sistemi di home banking/piattaforme finanziarie o di particolare importanza. In caso contrario, ritengo possa essere sufficiente mantenere alta l’attenzione senza lasciarsi prendere dal panico.
L’elenco dei punti Ho. Mobile sul territorio italiano, dove potersi recare per il cambio carta, lo trovate alla pagina www.ho-mobile.it/trova-negozio.html
Sim swapping?
Senza entrare nei dettagli tecnici, ogni SIM card ha un numero univoco che la identifica: l’ICCID. Questo codice permette all’utente di richiedere una sostituzione della SIM, trasferendo il numero di telefono sulla nuova. L’attacco consiste nell’effettuare una richiesta di “cambio carta” in modo fraudolento (es. usando documenti falsi od operatori compiacenti, oppure approfittando del fatto che non è obbligatorio chiedere i documenti a chi vuole un cambio SIM, purché abbia i dati di quella vecchia – l’ICCID, appunto!), appropriandosi quindi del numero telefonico del malcapitato. Ne consegue che l’attaccante potrà avere facilmente accesso ai dati e contatti WhatsApp, ricevere i codici OTP di servizi on-line (come l’home banking) e tutto quanto collegato al numero di telefono mobile. Ovviamente il malcapitato se ne accorge velocemente, poiché la SIM vecchia smetterà di funzionare e non sarà più registrata sulla rete mobile: il vantaggio, per chi attacca, è dato dal fatto che spesso alcuni utenti se ne accorgono dopo molte ore e, talvolta, danno la colpa a malfunzionamenti o guasti di altra natura.
È importante, nel caso la SIM smetta di funzionate improvvisamente, contattare IMMEDIATAMENTE il proprio operatore di telefonia mobile e richiedere una verifica.
E per le altre informazioni personali?
Il leak sembrerebbe contenere anche dati personali degli utenti, come indirizzo mail, indirizzo di residenza, data di nascita, numero di telefono… in questo caso non c’è molto che si possa fare, se non ovviamente mantenere alta l’attenzione e segnalare alle autorità qualsiasi evento anomalo possa accadere, cercando di circostanziarlo il più possibile. Queste informazioni potrebbero essere usate per attacchi di social engineering, accreditandosi presso l’interlocutore dimostrando di conoscere informazioni generalmente riservate. Nel caso lo riteniate opportuno e vi siano concreti rischi, potrebbe essere una buona idea informare amici, parenti, colleghi e chiunque altro possa essere coinvolto di quanto avvenuto.
In conclusione…
Se siete clienti Ho., oltre a consigliarvi di procedere con il cambio carta SIM, non c’è altro da fare che attendere novità da parte del Garante, delle Autorità preposte o della Ho. stessa. In queste situazioni mi sento sempre di suggerire cautela e l’attesa di comunicazioni ufficiali, contenendo il dilagare d’informazioni non confermate e talvolta fuorvianti.
Segnalo un canale Telegram “Ho. perso i tuoi dati” dove rimanere aggiornati sulla vicenda: t.me/hopersoituoidati
Ci vuole, come sempre, attenzione, buonsenso e consapevolezza.