Secondo il gruppo di sicurezza Bank Security (@Bank_Security), Ho Mobile, l’operatore low cost italiano messo in campo da Vodafone in ottica anti Iliad, avrebbe subito un grave furto di dati personali che, in pratica, coinvolgerebbe tutti i suoi abbonati, a fronte dei dati che, a fine giugno scorso, parlavano di circa 2 milioni di iscritti.
Il tutto è stato scoperto grazie ad una delle consuete “ronde” operate nel dark web dagli esperti di Bank Security: in uno dei black market presenti, è stato rinvenuto il file dump, cioè la struttura, di un database contenente i dati personali di 2.5 milioni di abbonati a ho. Mobile: nello specifico, in base a un campione ottenuto dagli indagatori, che si sono finti interessati all’acquisto dei dati in questione, questi ultimi riguardavano il nome/cognome dell’abbonato, la sua città, l’indirizzo, la mail personale, il codice fiscale, la data di attivazione e l’identificativo (Iccid) della SIM.
Al momento, non è noto se i dati in questione siano verificati e quindi validi, anche se è rilevante la portata del data breach, visto che coinvolgerebbe tutti gli utenti dello spin-off Vodafone, e il fatto che le informazioni in oggetto potrebbero essere usate per attacchi di tipo “SIM swap” in cui il malintenzionato, conoscendo i dati e il numero di telefono della vittima, si fa assegnare dall’operatore il controllo della relativa SIM (sostitutiva), che da quel momento riceverà, per esempio, anche gli SMS dell’autenticazione a due fattori.
Ricevendo tali messaggi, usati anche dalle banche per convalidare le operazioni sui conti correnti, gli hacker potrebbero carpire tutto il denaro risparmiato dagli utenti, e da questi ultimi gestiti in regime di remote banking (da qualche tempo per giunta in assenza del token fisico, abolito). In attesa che Vodafone confermi (o meno) la notizia, fornendo maggiori ragguagli anche su eventuali contromisure messe in atto, è possibile adottare qualche cautela onde tutelarsi, se abbonati a Ho Mobile.
Il leaker Alessandro Paluzzi, a tal riguardo, consiglia di rimuovere temporaneamente l’autenticazione a due fattori dai principali servizi usati, e di togliere o cambiare il numero di telefono abitualmente associato col proprio conto corrente.