I dati personali e telefonici di tutti i clienti ho.mobile, l’operatore virtuale del marchio Vodafone, 2,5 milioni di persone, sarebbero finiti in vendita sul Dark Web per 500 euro.
La notizia è stata data ieri notte su Twitter da Bank Security, che sarebbe riuscita ad entrare in possesso di un piccolo campione di informazioni per provarne l’autenticità. Vodafone riferisce di non avere evidenze di un attacco e comunque di stare indagando a riguardo.
Il furto, se confermato, sarebbe in effetti il risultato di un attacco informatico conclusosi con un data breach.
Aggiornamento 4 gennaio: ho mobile conferma l’attacco e un furto di questi dati, anche se su “parte della clientela” e attiva servizio di sostituzione gratuita della sim
Ho. Mobile conferma furto parziale di dati, cambio sim gratis: ecco che fare contro le truffe
Indice degli argomenti
Cosa sappiamo del presunto attacco hacker a ho.mobile
Da quanto trapelato finora, pare che i dati personali e telefonici degli utenti di ho.mobile sarebbero stati esfiltrati sfruttando una vulnerabilità della piattaforma Web o dell’app dell’operatore.
A Threat Actor is selling a Database of the Italian mobile service provider ho. (https://t.co/N5IYO88bja) owned by @VodafoneIT 🇮🇹.
The dump allegedly includes 2,500,000 customers’ PII Data, Phone Numbers & ICCID that can be exploited for SIM swap attacks to empty Bank accounts. pic.twitter.com/yR193Mt3CS
— Bank Security (@Bank_Security) December 28, 2020
All’interno del database (a questo indirizzo c’è l’elenco completo dei tipi di informazione potenzialmente esposte) ci sarebbero diversi tipi di informazioni, tra cui: nome e cognome degli utenti, data di nascita, città di residenza, l’ICCID (Integrated Circuit Card-Identity) della SIM e il numero di telefono.
Non sembrano essere presenti password di alcun genere, ma ci sono alcuni indirizzi e-mail.
In chiaro i dati di dieci utenti
Aggiornamento: nella serata del 29 dicembre è stato pubblicato un pastebin con dieci nomi in chiaro. Secondo Bank Security il “threat actor”, ossia il criminale, li ha pubblicati come esempio per provare la validità del pacchetto in vendita.
Cybersecurity360.it ha avuto conferma da due degli interessati che i dati sono corretti e che quindi il data leak è avvenuto, almeno per quei dieci; il che non prova che sia avvenuto anche per i 2,5 milioni.
“C’è da dire che il leak – sempre stando alle informazioni pubblicate anonimamente online – sarebbe in vendita dal 22 dicembre 2020 e non si sa da quanto sia effettivamente circolante, quindi non è noto se i dati in esso contenuti siano già stati utilizzati prima”, spiega l’esperto Paolo dal Checco, consulente informatico forense. “Non si ha, in ogni caso, sentendo anche chi lavora nell’ambiente, notizia di un aumento di attacchi di SIM Swap per l’operatore in questione. Siamo in attesa di conferme sia da parte dell’operatore – che giustamente dovrà far sapere qualcosa al Garante Privacy e agli interessati – sia da eventuali ulteriori pubblicazioni online su Pastebin o Twitter che possano confermare o smentire questo importante evento”.
In particolare, la possibilità di entrare in possesso dell’ICCID, il codice internazionale di 19 cifre che identifica in maniera univoca la SIM, potrebbe essere particolarmente pericolosa in quanto permetterebbe a un malintenzionato di portare a termine un attacco di tipo SIM Swap che consente di clonare la SIM e accedere poi a servizi online.
Una volta clonata la SIM, l’attaccante è in grado di ricevere anche gli SMS dei servizi di autenticazione a due fattori, molto usata per servizi come banche, account internet o servizi di salvataggio password.
Il sim swap permette quindi di accedere a conti correnti e svuotarli o vari account internet, poste che il criminale riesca a ottenere anche le altre credenziali (statiche).
È facile intuire che è proprio la presenza di questi numerosi codici ICCID a rendere (in teoria) di valore il database degli utenti di ho.mobile venduto sul Dark Web.
Una SIM intestata a nome altrui può consentire anche di fare truffe a danni terzi e proteggere la propria identità in attività criminali basate sull’uso del cellulare.
L’eventuale leak non sorprende gli esperti. “Purtroppo i data leak sono divenuti molto comuni”, dice il consulente esperto di cyber security Salvatore Lombardo. “Non sempre sono dovuti solo ad una cattiva gestione e conservazione delle password ma anche ad una cattiva implementazione delle applicazioni web db based. Ciò può consentire l’iniezione di query arbitrarie. È necessario che gli sviluppatori applichino una programmazione sql che preveda un controllo di tutte le potenziali porte di accesso all’archivio di gestione dei dati, quali i form, le pagine di ricerca e qualsiasi altro modulo che preveda una interrogazione query strutturata”.
I rischi che correrebbero gli utenti
“Se fosse confermato, questo leak avrebbe certamente proporzioni di rilievo per diversi motivi. In primo luogo, perché contiene dati legati a utenze telefoniche, che oggi vengono utilizzate da servizi, portali e persino banche come strumento d’identificazione e recupero codici di accesso”, spiega Dal Checco. “Tra tali dati – secondo quanto pubblicato su Pastebin – ci sarebbe anche il codice ICCID, che è una sorta di “numero di telaio” della scheda SIM, elemento essenziale per poter richiedere la migrazione o portabilità dell’utenza soprattutto se in combinazione con i dati anagrafici del proprietario come indirizzo, codice fiscale, email e altri dati di rilievo”.
Uno dei dieci utenti di cui i dati sono in chiaro (vedi box sopra) conferma a questa testata di aver già ricevuto una telefonata di sconosciuti che cercavano conferma dei dati e poterli così, probabilmente, utilizzare per furto di identità, con o senza SIM Swap.
Ma non ci sono solo rischi associati a SIM Swap. I dati possono essere anche sfruttati direttamente da truffatori.
“Gli utenti di ho.mobile potrebbero essere oggetto di campagne di phishing già dalle prossime ore“, aggiunge l’esperto Pierluigi Paganini, docente al master cybersecurity alla Luiss di Roma. “Potrebbero ricevere messaggi o telefonate che chiedono loro di fornire ulteriori dati per gestire una situazione con carattere di urgenza, ad esempio per scongiurare che la linea sia loro distaccata a seguito di una fantomatica verifica. È fondamentale prestare attenzione ad eventuali messaggi che potrebbero esser inviati in nome di ho.mobile e di considerare solo il sito dell’azienda come fonte ufficiale“, continua Paganini.
Come difendersi da truffe SIM Swap
“In tanti mi chiedono come proteggersi da eventuali truffe, nel caso in cui i loro dati dovessero trovarsi nel database. Sicuramente chi la settimana scorsa è finito nel leak del wallet di criptomonete Trezor è maggiormente vulnerabile, perché incrociando i due elenchi è possibile sferzare diversi tipi di attacco per tentare di sottrarre criptomonete da wallet online o riuscire tramite phishing a impossessarsi di quelle mantenute sul dispositivo”, aggiunge Dal Checco.
I suoi consigli sono i seguenti.
- Sostituire, almeno temporaneamente, il numero telefonico impostato come metodo di recupero nei vari account online, da quelli bancari a Paypal, dallo SPID alla posta elettronica, da Facebook ad Amazon: tutti possibili bersagli per truffe legate alla sostituzione della SIM.
- Per chi utilizza WhatsApp, Telegram, Messenger o strumenti d’instant messaging e non vuole – comprensibilmente – migrare utenza, è sufficiente abilitare la protezione con il secondo fattore di autenticazione, inserendo una password che deve essere richiesta per poter accedere all’account: in questo modo, anche sottraendo la SIM, l’attaccante non sarà in grado di accedere ai nostri messaggi (per quanto riguarda Telegram o Messenger, che li mantiene sul cloud) o di utilizzare la nostra utenza per inviare e ricevere testi (per quanto riguarda WhatsApp, Signal o altre app che mantengono le chat in locale).
- Ognuno di noi sa quali dati ha comunicato all’operatore, non si può ovviamente cambiare la propria residenza per una notizia non confermata, ma l’indirizzo di posta sì, temporaneamente anche quello si può impostare utilizzandone uno diverso, creando quindi differenze tra i dati presenti nel database e quelli utilizzati nella realtà, per difendersi da eventuali attacchi.
“Ritengo comunque che, se la notizia dovesse essere confermata, l’operatore in questione sarà il primo a bloccare temporaneamente i cambi di SIM imponendo ulteriori verifiche, cosa che tra l’altro l’AGCOM poche settimane fa – in tempi non sospetti – aveva già prospettato”.
Cambio SIM più sicuro, contro le frodi: le nuove regole Agcom
