Nella serata di ieri Bank Security, noto sito di sicurezza informatica, ha detto di aver trovato sul darkweb una proposta di vendita per l’intero database di clienti di Ho Mobile. Presenti tutti i dati personali e i dati telefonici di 2.5 milioni di italiani, niente carte di credito. Vodafone al momento non ha confermato.
I dati di tutti i clienti di Ho Mobile, l’operatore virtuale di Vodafone, sarebbero in vendita sul Darkweb. La notizia è stata data ieri, dopo cena, da BankSecurity su Twitter, sito assolutamente affidabile che segnala la presenza di materiale sensibile online dopo una attenta verifica.
I dati sarebbero stati sottratti sfruttando una vulnerabilità della piattaforma web o app, e anche se al momento manca la conferma da parte di Vodafone la sensazione è che sia purtroppo tutto vero. Abbiamo contattato Bank Security, che ha in mano un campione di questi dati composto da 10 utenti, e nonostante non ci abbia voluto dare quel campione per una verifica trattandosi di dati sensibili ci ha aiutato in alcuni controlli incrociati e i dati sembrano reali.
Due precisazioni. Non ci sono password di alcun tipo e non ci sono neppure dati di carte di credito: nel database sono presenti solo dati personali come nome, cognome, indirizzo, numero di telefono, mail e codice cliente oltre ai dati della SIM in possesso incluso l’ICCID, Integrated Circuit Card-Identity.
Il motivo per il quale questi dati sono in vendita e hanno valore è proprio per la presenza dell’ICCID, il codice univoco segreto di una SIM che permette la portabilità del numero, abbinato all’indirizzo email.
Chi entra in possesso di questi dati potrebbe portare il numero di una determinata persona su una nuova SIM utilizzandoli per accedere a servizi che si servono dell’autenticazione a due fattori. Questi servizi, spesso, inviano i codici di conferma proprio sul numero di telefono personale e un malintenzionato potrebbe quindi usarli per cambiare password di account sensibili e poi accedervi. Google o Amazon, ad esempio, permettono di cambiare la password con verifica sullo smartphone.
Abbiamo ovviamente chiesto conferma a Vodafone e siamo in attesa di una risposta. Inutile dire che un fatto simile sarebbe di una gravità inaudita, e l’unico modo per porvi rimedio sarebbe quello di sostituire immediatamente le SIM a 2.5 milioni di clienti sospendendo la portabilità fino a quando non sono state sostituite. Seguiremo la faccenda da vicino.
