Articles

Ho Mobile e i dati degli utenti in rete: tutti i dubbi (e un modo veloce per proteggersi)

In questi ultimi giorni del 2020 sta facendo discutere il presunto attacco hacker subito dall’operatore telefonico Ho Mobile, smentito però dalla stessa azienda a poche ore dall’uscita della notizia. La vicenda si rivolge intorno alla vendita di quello che potrebbe essere un enorme archivio comprendente i dati personali di 2,5 milioni di utenti dell’operatore, che un hacker non identificato ha messo in vendita sul dark web e del quale però si stanno ancora dibattendo l’autenticità e l’origine.

Le certezze

Quel che è stato accertato finora di tutta la faccenda è che l’archivio esiste ed è effettivamente in vendita online sul dark web. Come incentivo all’acquisto, il venditore ha pubblicato i nominativi e i dati personali di 10 utenti del gestore; alcune testate e blog hanno poi utilizzato le informazioni di contatto di queste persone per raggiungerle ed effettuare una verifica su altri dettagli trapelati in chiaro, come ad esempio quelli anagrafici e di attivazione dei loro abbonamenti. Alcuni non hanno risposto, ma altri hanno confermato la correttezza delle informazioni pubblicate dall’hacker.

I dubbi sulla vicenda

Come fanno notare diversi esperti online, questo non vuol dire di per sé che Ho Mobile abbia subito direttamente un furto di dati, né che l’operazione abbia toccato effettivamente 2,5 milioni di persone. Tra le ipotesi c’è anche quella che le informazioni siano state sottratte a un’azienda partner del gruppo, ma anche che il numero di utenti colpiti sia decisamente inferiore: l’hacker insomma potrebbe aver gonfiato l’entità del bottino per truffare eventuali acquirenti.

Nelle ultime ore sembra sia stata effettuata un’altra verifica sulla banca dati, questa volta di tipo inverso: è stato un utente Ho Mobile ad aver fornito il proprio numero di telefono all’hacker, vedendosi ricevere in cambio tutto il resto delle sue informazioni personali — una risposta impossibile da dare se l’archivio di utenti fosse incompleto. Per tutti questi motivi Ho Mobile sta continuando a effettuare indagini sulla base di quanto denunciato finora, ma la posizione ufficiale dell’operatore resta quella di poche ore fa: “non si riscontra alcuna evidenza di accessi massivi ai propri sistemi informatici che abbiano messo a repentaglio i dati della customer base”.

Utenti preoccupati

Anche a fronte di un contrasto tra indiscrezioni e conferme ufficiali, sui social gli utenti dell’operatore si stanno mostrando comprensibilmente preoccupati. I dati in gioco del resto consentirebbero di operare veri e propri furti di identità ma anche il cosiddetto SIM Swapping — il dirottamento del numero telefonico di un utente dalla sua scheda a quella di un eventuale truffatore; con questa tecnica è possibile sfruttare i sistemi di autenticazione a due fattori via SMS di servizi come WhatsApp, Gmail e molto altro, dai quali poi sottrarre eventualmente informazioni ancora più preziose. Per portare a termine attacchi simili in realtà è necessario conoscere indirizzi email e password delle vittime — ma i primi sarebbero contenuti nel presunto database in vendita, mentre le password più deboli possono essere indovinate facilmente.

Come proteggersi

Una soluzione al problema del SIM Swapping può essere rappresentata dall’utilizzo di un sistema di riconoscimento basato non su codici inviati via SMS, ma su app per l’autenticazione da installare sul telefono. È da tempo infatti che gli esperti di sicurezza informatica mettono in guardia sui rischi dell’autenticazione a due fattori effettuata attraverso l’invio di codici SMS proprio per eventualità simili. Con un’app come Authy, disponibile sia su Android che su iOS, i codici temporanei vengono generati direttamente dallo smartphone; la procedura richiede di abbinare l’app a ciascun servizio al quale si è iscritti, ma neutralizza attacchi basati sul furto dei codici ICCID che sono al centro della vicenda di queste ore. In alternativa si può cambiare temporaneamente il numero per gli SMS dedicati all’autenticazione a due fattori a un’altra utenza: il proprio secondo numero, o quello di un familiare.

Una soluzione più drastica è rappresentata dal cambio di SIM, che mantiene il numero e l’operatore originali ma comporta un nuovo ICCID che non figurerebbe quindi in nessuna eventuale banca dati violata. L’operazione si può richiedere gratuitamente nei primi 24 mesi di abbonamento (va dimostrato un malfunzionamento della scheda) oppure dietro il pagamento di 5 euro, ma visti i tempi di pandemia è logisticamente più complessa. Prima di farne richiesta è probabilmente meglio aspettare una risposta definitiva da Ho Mobile sulla vicenda: se una violazione c’è stata, l’azienda ha l’obbligo di comunicarla ai clienti entro 72 ore dalla sua scoperta.

0 comments on “Ho Mobile e i dati degli utenti in rete: tutti i dubbi (e un modo veloce per proteggersi)

Leave a Reply

%d bloggers like this: