Acchiappafantasmi? Forse ne abbiamo bisogno

Hook & Ladder 8 (New York), personal archive

fabio
fabio
1 min read

Categories

  • security

Ieri ho scritto su un Data Breach (e Dump) in ambito Bitcoin che ha minato profondamente la privacy di 270 mila utenti di Ledger (inclusi 5500 italiani) rendendoli facili target di attacchi informatici (dai più semplici ai più complessi) e mettendone potenzialmente a rischio anche l’incolumità fisica.

Non si fa in tempo a parlare di un Data Breach che ne spunta subito un altro, sicuramente più sentito in Italia, relativo alla sottrazione e – per ora – messa in vendita dei dati di 2.5 Milioni di clienti di ho. mobile (l’operatore telefonico di proprietà di Vodafone). La sottrazione di questi dati non è stata ancora confermata dall’operatore da cui si aspetta una dichiarazione nel breve visti i nuovi obblighi imposti nello scenario di perdita di dati sensibili.

Tra i dati raccolti e attualmente in vendita ci siano le PII (Personal Identifiable Information: data e luogo di nascita, residenza, e simili per capirci), numero di telefono, codice fiscale, l’ICCID della SIM (Integrated Circuit Card-Identity) e altri. Un esempio dei dati disponibili lo potete trovare nelle immagini di questo tweet.

In pratica ci sarebbe tutto quello che serve per portare a termine con successo il SIM Swap Attack che ho descritto ieri sul mio blog, con la differenza che in questo caso sono a rischio le informazioni bancarie degli utenti e non quelle bitcoin.

Questa notizia fa sorgere alcune considerazioni:

  1. La strong authentication via SMS (come vedete) non è sicura: usate le app!!! L’ho scritto anche ieri ma lo ribadisco
  2. Agcom deve velocizzare le delibere per rinforzare il processo di portabilità e sostituzione SIM: non è pensabile che possa essere fatto senza presentare un documento e senza che al legittimo titolare venga notificato La bozza che si può leggere online sarebbe già un ottima soluzione!