fbpx

Furto dati Ho. Mobile: cosa fare e come tutelarsi.

Come noto Ho. Mobile, l’operatore low-cost di Vodafone Italia, ha subito giorni fà il furto di informazioni appartenenti a un numero importante di propri clienti (data breach).

I dati trafugati sono quelli anagrafici degli intestatari delle SIM – nome, cognome, numero di telefono, codice fiscale, e-mail, data e luogo di nascita, nazionalità, indirizzo – e i dati tecnici delle SIM.

Ho.Mobile ha, in data odierna (9/1/2021 NdR), rigenerato il codice seriale delle SIM a tutti i clienti coinvolti, offrendo comunque, a tutti gli altri, l’opportunità di effettuare il cambio delle SIM in uso gratuitamente.

Ma perché la violazione dei dati trafugati è molto grave e deve preoccupare i clienti coinvolti?

La particolarità di questo “data breach” risiede nella tipologia di dati che sono stati rubati: oltre alle anagrafiche personali ed i dati di contatto sono stati prelevati anche dati tecnici relativi agli identificativi delle SIM card quali ICCID, IMSI e PUK.

Ciò consente ai malintenzionati di effettuare SIM swapping o swap, una tecnica di attacco che consente di avere accesso al numero di telefono del legittimo proprietario e violare determinate tipologie di servizi online che usano proprio il numero di telefono come sistema di autenticazione” per home banking, carte di credito, sistemi di pagamento, account di posta elettronica, caselle PEC, documenti e foto online, account social e applicazioni di messaggistica.

Difatti il numero di telefono è sempre più utilizzato come uno dei fattori necessari in scenari di autenticazione a due fattori (2FA) tramite un codice noto come OTP (One-time password).

Per abbattere il rischio frode si possono fare varie azioni quali:

  • effettuare la sostituzione della SIM;
  • assicurarsi che il PIN code della verifica a due fasi di WhatsApp sia inserito;
  • per gli account e-mail utilizzati per le registrazioni a servizi e social network abilitare almeno una forma di autenticazione multi-fattore che non preveda l’uso del numero di telefono;
  • ove possibile utilizzare app di autenticazione tipo Google Authenticator e/o Authy;
  • preferire, per il codice Otp, l’invio via mail in luogo di un messaggio sul telefonino, proteggendo l’autenticazione a tale casella mail con un meccanismo di autenticazione a due fattori più sicuro.

Nell’occasione si evidenzia che il primo dicembre l’Autorità garante delle comunicazioni (Agcom) ha pubblicato la delibera 334/20/CIR con nuove regole per rendere più sicuro il cambio SIM, proprio con la finalità di proteggere gli utenti dallo sim swap. La delibera, che entrerà in vigore nel 2021, prevede che per richieste di cambio sim per via telematica, oltre all’identificazione, come previsto dalle norme vigenti, dovrà essere previsto l’invio anche della copia della medesima documentazione richiesta in caso in cui ci si rivolga al dealer.

Delibera 334/20/Cons
wp