Possibile attacco hacker a Ho Mobile: forse a rischio i dati di 2,5 milioni di utenti
L'operatore telefonico Ho Mobile di proprietà della britannica Vodafone potrebbe aver subito un attacco hacker capace di mettere a repentaglio le informazioni personali di ben 2 milioni e mezzo di utenti. La notizia non è stata ancora confermata dall'azienda, ma è stata data su Twitter da Bank Security, un sito di sicurezza informatica generalmente considerato molto affidabile che ha spiegato la portata di un attacco che — se confermato — sarebbe decisamente grave.
I dati a rischio
Secondo quanto riportato dal sito, i server dell'operatore sarebbero stati violati fino a far ottenere agli autori dell'attacco una banca dati dei clienti del gruppo. Il bottino informatico sarebbe poi stato messo in vendita sul dark web, dove sarebbe stato scovato appunto dai gestori di Bank Security che hanno poi dato l'allarme. Stando al sito, il contenuto della banca dati contiene infatti informazioni sensibili e complete degli utenti al suo interno. Da una parte non sono state trafugate informazioni sulle carte di credito; d'altro canto però nel database sembrano essere presenti nomi, cognomi, codici fiscali, numeri di telefono, indirizzi di residenza e soprattutto i codici Integrated Circuit Card-Identity, o ICCID, legati alle SIM rilasciate ai clienti.
I pericoli
In possesso di quest'ultimo dato si può effettuare la portabilità del numero a un altro operatore — ovvero utilizzare il numero di telefono della vittima da un'altra SIM, disattivando quella del proprietario originale. Questo pone un problema di sicurezza grave per tutti quei servizi e siti web che utilizzano il numero di telefono per verificare l'identità di un utente: da WhatsApp ai servizi cloud di Google, Apple e Microsoft, passando per carte di credito, home banking e perfino lo SPID. Chi è in grado di risalire questa catena di autenticazione potrebbe insomma mettere in atto veri e propri furti di identità o peggio, appropriandosi di dati ancora più sensibili di quelli che secondo Bank Security sono stati trafugati.
Farlo non è immediato: essere in possesso di una SIM così collegata a un numero di telefono non basta a dare l'accesso a tutti servizi digitali legati a quel numero, e per farlo servono anche i nomi utente e i relativi PIN o password. Il dato però aumenta drasticamente la probabilità che attacchi di questo tipo vadano a buon fine, soprattutto se unito al tesoretto di altre informazioni che stando a Bank Security sono state trafugate.
La risposta di Ho Mobile
A poche ore dalla pubblicazione della notizia da parte di Bank Security, Ho Mobile ha rilasciato una nota nella quale afferma di non avere "nessuna evidenza di accessi massivi ai propri sistemi informatici che abbiano messo a repentaglio i dati della customer base". Se un furto di dati c'è stato, è stato insomma condotto senza lasciare tracce visibili ai tecnici del gruppo. Ho Mobile ha poi "avviato in collaborazione con le autorità investigative le indagini per ulteriori approfondimenti".
Se il racconto di Bank Security fosse confermato, per il GDPR il gruppo avrebbe l'obbligo di informare gli utenti colpiti; per tenerli al sicuro da potenziali attacchi rivolti ai singoli però l'unica soluzione potrebbe essere sostituire loro le SIM telefoniche, bloccando nel frattempo le operazioni di portabilità legate al ICCID che mettono a rischio i sistemi di autenticazione a due fattori ai quali quei numeri sono legati.