29 dicembre 2020 - 11:50

Ho mobile, presunti dati dei clienti in vendita online: l’operatore «non ha evidenze di accessi ai propri sistemi»

Ho mobile, marchio del gruppo Vodafone, sul presunto furto dei dati di 2,5 milioni di persone: «Stiamo indagando»

di Martina Pennisi

Ho mobile, presunti dati dei clienti in vendita online: l'operatore «non ha evidenze di accessi ai propri sistemi»
shadow

Lunedì sera l’account di sicurezza informatica Bank Security ha scritto che i dati dei 2 milioni e mezzo di clienti (tutti) dell’operatore italiano Ho.mobile del gruppo Vodafone sarebbero in vendita sul cosiddetto dark web.

Con una nota inviata al Corriere, Ho.mobile dice di non aver avuto alcun riscontro di un furto o di un accesso illecito ai suoi sistemi: «Con riferimento ad alcune indiscrezioni pubblicate da organi di stampa, Ho.mobile non ha evidenze di accessi massivi ai propri sistemi informatici che abbiano messo a repentaglio i dati della customer base. Abbiamo avviato in collaborazione con le autorità investigative le indagini per ulteriori approfondimenti».

Secondo Bank Security, sarebbero in vendita indirizzi email, codici fiscali, numeri di telefono, indirizzi fisici, città e codici Iccid (Integrated Circuit Card-Identity) degli utenti. Non ci sarebbero password o dati bancari, ma i codici Iccid di 19 cifre non vanno sottovalutati perché identificano in modo univoco le Sim e potrebbero essere sfruttati da malintenzionati per prendere il controllo dei numeri di telefono e sottrarre informazioni delicate: per esempio i codici per cambiare le password su siti come Amazon con la cosiddetta verifica in due fasi (quando ci facciamo mandare un Sms per cambiare la password) e accedere a profili e fare acquisiti. Il termine corretto è Sim swap, una truffa che «a dire il vero si può perpetrare anche senza i codici e con la collaborazione più o meno consapevole di un operatore», spiega il docente di sicurezza informatica del Politecnico di Milano Stefano Zanero. La vittima, prosegue Zanero, «si può accorgere di quello che sta accadendo perché la sua Sim smette di funzionare».

Quindi: non ci sono ancora prove definitive della presenza, dell’autenticità o dell’acquisto dei dati, se non l’esempio anonimizzato pubblicato su Twitter da Bank Security, e prove dell’uso illecito di questi o di altri dati dei possessori di una Sim Ho. Dalle prime verifiche degli esperti interpellati dal Corriere, starebbe iniziando a emergere la presenza di dati riconducibili a utenti che sono o sono stati clienti Ho, ma servono ulteriori conferme.

Cosa devono fare i clienti Ho?
Per ora poco e niente, se non seguire l’evolversi della situazione, spostare le verifiche in due fasi su un numero di altro operatore e segnalare eventuali problemi di linea o di altro genere al call center di Ho (i numeri si trovano qui). Se a un certo punto Ho e Vodafone dovessero riscontrare anomalie saranno obbligati a notificarlo al Garante per la privacy nelle 72 ore successive, perché si tratterebbe di un data breach. L’obbligo di avvisare i clienti scatta invece nel caso in cui la violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone fisiche.

In una versione precedente di questo articolo la replica dell’azienda è stata attribuita a Vodafone Italia

© RIPRODUZIONE RISERVATA
ALTRE NOTIZIE SU CORRIERE.IT