Il provvedimento è dello scorso 11 maggio 2017, ma è solo negli ultimi giorni, con i riflettori puntati sulla relazione annuale dell’Autorità Garante per la Protezione dei Dati Personali, che l’argomento è diventato caldo.
L’Atto del Garante prevede che Wind Tre comunichi per iscritto ad oltre 5000 clienti che sono stati vittima di un data breach, che ha messo a rischio i propri dati personali, e li inviti a verificare che le proprie credenziali siano sicure.
Ma quali dati sarebbero a rischio e in che modalità gli hacker avrebbero avuto accesso agli stessi?
Facciamo un passo indietro e torniamo al settembre dello scorso anno. Un banale intervento di tuning di alcuni sistemi informatici di 3 Italia, legati all’Area Clienti del gestore, avrebbe lasciato sui server H3G un file di testo contenente le credenziali di accesso in chiaro di 5118 clienti (user-id e password), che avrebbe dovuto invece essere automaticamente cancellato al termine delle operazioni.
Tale svista si è rivelata essere – come prevedibile – una bomba ad orologeria, che è scoppiata il 20 marzo di quest’anno, quando persone esterne a Wind Tre e al fornitore di servizi responsabile della gestione del Self Care 3 hanno avuto accesso a tale file, sfruttando una vulnerabilità al momento poco nota e pertanto non ancora corretta.
Non appena è stata scoperta la falla, 3 è corsa ai ripari, eliminandola e bloccando le utenze impattate, forzando per le medesime un cambio di password, rendendo dunque impossibili futuri accessi non autorizzati ai dati personali dei clienti. Ha inoltre contattato personalmente le numerazioni incluse nel file e per le quali risultava essere avvenuto un accesso all’Area Clienti nel periodo successivo all’intromissione, un totale di 402 utenze.
Tutto è bene quel che finisce bene? Forse sì, ma per il Garante per la Privacy la storia non può, anzi non deve, finire qui. Se Wind Tre ha fatto il suo dovere, infatti, informando quei 402 clienti per cui potrebbero essere stati esposti i dati personali contenuti nel Self Care, ha sbagliato nel ritenere superfluo farlo anche con gli altri.
Con questo provvedimento, dunque, si è imposto a Wind Tre S.p.A. di comunicare per iscritto a tutti i propri clienti oggetto del furto delle credenziali, per un totale di 5118 utenze, quanto avvenuto. Infatti – spiega il Garante – la sola acquisizione di credenziali di accesso è da ritenere già di per sé fonte di potenziale pregiudizio per gli interessati, indipendentemente dal fatto che ne consegua un effettivo utilizzo per accedere a specifiche aree riservate, in considerazione della probabilità che le medesime credenziali possano essere utilizzate per accedere a diversi portali web, atteso che la user-id è costituita dal numero telefonico dell’utente.
Oltretutto, proprio questa particolarità costituisce un’aggravante del rischio, in quanto si tratta di un dato di per sé direttamente e univocamente identificativo e che, alla luce delle tecnologie disponibili, può essere utilizzato come chiave per individuare in rete l’utente e conseguentemente accedere anche ad altre informazioni allo stesso correlate.