Riavvolgiamo il nastro sul caso Ho. Lo hanno fatto in molti, noi stessi abbiamo dapprima contattato e poi riportato le dichiarazioni ufficiali di Vodafone che ha confermato che non c’è stata “nessuna evidenza di accessi massivi ai propri sistemi informatici”.
Una dichiarazione importante, vale la pena ricordarlo, vista la responsabilità dell’operatore su un eventuale data breach ovvero quella violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Partiamo dai fatti, come ha fatto il Post.
Molti articoli hanno scritto che gli utenti a rischio sarebbero 2,5 milioni ma in realtà, al momento, non è possibile stabilire con certezza a quante persone siano stati sottratti i dati. Alcuni clienti di cui sono stati resi pubblici i dati sono stati contattati da giornalisti professionisti e hanno confermato le generalità. Pertanto se da una parte abbiamo Vodafone che ha negato accessi massivi ai sistemi Ho, dall’altra esiste un certo numero di utenti che risultano nelle liste apparse online (e che non vi saranno linkate in alcun modo, ndr).
Un buon riassunto della questione e dei rischi, con le informazioni che abbiamo ad oggi, lo fa Tommaso Felici su Dr Commodore.it che si chiede: “La paranoia e la paura di essere rintracciati dell’utente medio è incontrollabile, tutti a consigliare di cambiare sim immediatamente per evitare il sim swap, ma quali sono i rischi reali?”
Dà anche una risposta assai razionale al suo quesito. Il sim swap – riguardo al quale AgCom aveva iniziato a muoversi proprio a inizio dicembre, ndr – è “una tecnica molto banale che consiste nel disattivare la sim dell’utente in favore di una nuova sim con il suo numero, per effettuare recuperi di password o di credenziali attraverso il numero di telefono, per poi tentare di accedere ad una piattaforma come Amazon, Paypal o app bancarie“.
Aggiungiamo un caso di potenziale pericolo nel sottoinsieme dei “furti della sim” – compreso dallo stesso lavoro AgCom linkato sopra – ovvero la possibilità di fare MNP – ovvero di cambiare gestore – semplicemente utilizzando il seriale e il numero di telefono del cliente Ho. per portare la scheda su un gestore del quale il truffatore possiede già una sim. Magari intestata a un nome fittizio o di terzi. Il processo di portabilità per una sim prepagata, infatti, con buona probabilità andrà a buon fine senza ulteriori controlli (è una delle grandi criticità del sistema attuale di portabilità, ndr).
Ma, c’è un “ma” grande come una casa ricorda Felici.
Andiamo in ordine:
- I sistemi che utilizzano OTP via SMS, sono pochi.
- Oltre all’OTP, servono comunque le credenziali solite, Username e Password.
- Ammesso che una piattaforma permetta il recupero totale delle credenziali attraverso il numero di telefono, ricevereste comunque una mail di notifica.
- Se un malintenzionato effettua sim swapping sul vostro numero (o una portabilità uscente, come scritto sopra), la vostra sim viene disattivata, perciò ve ne accorgereste subito (si spera).
- E per non parlare della poca sanità mentale che si avrebbe, se si tentasse di accedere manualmente a caso a ogni piattaforma possibile, con 2.5 milioni di utenze.
Ma quindi, che ci fanno con sto dump?
In pratica, sperano di rivenderlo, e ci riusciranno. Perchè? “Perchè nel mondo del dark web, 2.5 milioni di utenze reali sono utili, per esempio, a creare account di piattaforme bancarie o di carte prepagate poco sicure, dove far veicolare soldi ottenuti in maniere poco lecite”, scrive Felici.
“Il mio consiglio per un utente Ho. Mobile“, chiude Felici, “è quello di mantenere la calma: controllare che su paypal/amazon/app bancaria non utilizzi il numero di telefono come unico sistema di recupero credenziali, e di attendere comunicazioni ufficiali.”
Al momento in cui scriviamo su ho-mobile.it non c’è ancora alcuna comunicazione dedicata ai clienti.
[Aggiornato ore 19:22]