I clienti Ho Mobile hanno trovato un bel regalo sotto l’albero di Natale. Le notizie che si stanno rincorrendo in queste ore, se confermate, sarebbero gravissime: l‘MVNO di proprietà di Vodafone avrebbe subito un consistente data breach, con le informazioni personali dei propri clienti in vendita sul dark web. Il condizionale è d’obbligo perché finora il gestore ha negato tutto, ma ha avviato un’indagine interna. Si potrebbe trattare del primo data breach subìto da un operatore di telefonia. La cosa suona molto grave prima di tutto perché riguarda qualcosa che letteralmente tutti abbiamo nelle nostre tasche e poi perché va a sfatare un mito ormai consolidato, ovvero che le compagnie telefoniche siano in grado più di altre realtà di avere cura dei dati dei propri clienti. Se siete clienti Ho e non sapete cosa fare, vi aiutiamo noi!

 

Chi è Ho Mobile

Ho Mobile è un gestore telefonico cosiddetto low cost, per la precisione un ESP MVNO (qui vi spieghiamo le differenze tra i vari tipi di operatori), di proprietà di Vodafone. Il “gigante” inglese produce le sim e fornisce la rete, ma i database della clientela non sono condivisi. Si può essere clienti Ho senza che Vodafone ne sia a conoscenza, ad esempio, e anche i servizi di assistenza clienti sono indipendenti. I gestori low cost sono diventati molto popolari in Italia dopo l’ingresso di Iliad nel mercato, che ha occupato il posto di quarto player lasciato vuoto da H3G nel frattempo fusasi con Wind. Iliad però è un MNO perché possiede la rete su cui opera. La scelta di offrire prezzi molto bass è meramente commerciale e non operativa dal momento che Iliad per esistere ha gli stessi costi di Tim, Vodafone e WindTre (c’è infatti chi nutre molti dubbi sulla sostenibilità). Le low cost come Ho invece possono offrire i loro prezzi in virtù del fatto che innanzitutto hanno dietro un grosso MNO a coprir loro le spalle e poi perché hanno un sistema completamente diverso di rivolgersi alla clientela. Ad esempio, risparmiano su personale e affitti: non avendo negozi fisici, un’importante fetta di costi viene tagliata via.

L’esperienza di attivazione Ho (come del resto la procedura per passare a Iliad) si svolge tutta online. Questa è una prima spiegazione alla fuga di dati: svolgendo tutta l’attività su Internet, è facile pensare che anche le piattaforme che gestiscono i clienti siano online, magari in cloud per risparmiare ancora di più. Vi abbiamo raccontato più volte cosa può succedere quando le piattaforme cloud non sono abbastanza protette.

Il pericolo sim swapping

Non si sa di preciso l’entità di questo data breach, si parla di 2/2.5 milioni di nomi. Considerando che Ho prima dell’estate dichiarava 2 milioni di clienti, è facile immaginare che si tratti dell’intera customer base. I dati rivelati sono quelli anagrafici completi, ovviamente il numero di telefono e ICCID (vi spieghiamo cos’è in questo articolo dove, tra le altre cose, vi diciamo quanto è semplice passare una sim aziendale a Welcome Italia). Cosa può fare un malintenzionato con questi dati? Senza andare troppo lontano e immaginare scenari da codice penale, può semplicemente iscrivervi a liste marketing senza il vostro consenso. Potreste quindi ricevere più chiamate del solito da parte di call center che vogliono vendervi qualcosa o SMS spam/promozionali. Le liste clienti sono molto appetibili sul mercato ufficiale e meno, perchè i servizi di telemarketing sono sempre alla ricerca di nuove basi clienti da esporre a proposte commerciali e procurarsene di lecite e pulite è difficile e costoso. Se il data breach di Ho mobile è servito a questo, il fastidio è relativamente sopportabile. Quello che è veramente pericoloso, secondo gli esperti del settore, è la probabilità di sim swapping.

Si tratta molto banalmente della sostituzione della sim. L’abbiamo fatta mille volte, quando si è smagnetizzata, quando abbiamo sbagliato a tagliarla e l’abbiamo rotta, quando era vecchia e volevamo la nuova, quando abbiamo comprato il telefono che richiedeva la nano sim ma noi avevamo la micro. Per sostituire la sim si va dal negoziante, si consegna un documento e in pochi minuti si è a posto. Quando non c’è un negozio fisico, la procedura si fa online e diventa difficile quindi identificare inequivocabilmente la persona che fa la richiesta. Cosa implica un sim swapping fraudolento?

Significa dirottare su un’altra sim diversa da quella originaria tutto il sistema di identificazione per le operazioni bancarie online (OTP, autenticazione a due fattori, richieste di reset password). Un sim swapping che coglie nel segno può svuotare il conto bancario in poco tempo.

Come comportarsi e cosa fare

Abbiamo già detto che la compagnia ha negato l’attacco informatico ma ha disposto un’indagine interna, il che equivale a una mezza ammissione. Cosa fare allora se si è clienti Ho Mobile e si viene presi da un leggerissimo senso di panico? Su due piedi, nulla. Se i dati sono stati rubati e messi in vendita, non possiamo sapere chi li ha comprati e cosa ne farà. Non facciamoci prendere dal panico!

È inutile bombardare il servizio clienti e correre a fare la portabilità verso un altro gestore. Nel primo caso non otterremo risposte perché le stiamo chiedendo a chi non ne possiede e nel secondo intaseremmo i sistemi con richieste che verrebbero evase con difficoltà. Restiamo calmi e riflettiamo. Se siamo stati inseriti in qualche giro di telemarketing molesto, blocchiamo i numeri. A furia di risultare irraggiungibile, il numero diventerà poco appetibile e verrà depennato.

Se la vostra sim smette improvvisamente di funzionare restituendo il messaggio “nessun servizio” o “solo chiamate di emergenza” può essere un segnale di allarme. Una sostituzione di sim implica necessariamente che la vecchia smetta di funzionare per far andare la nuova, non possono esserci due sim fisiche che funzionino contemporaneamente con lo stesso numero. A quel punto contattate la vostra banca per comunicare il problema e attivate le procedure per il furto di identità. Per recuperare il vostro numero, contattate il servizio clienti Ho e avviate la procedura di disconoscimento. Con un po’ di fortuna è possibile recuperarlo, con i tempi tecnici del caso.

Vi lasciamo qui un ottimo articolo di ulteriore approfondimento.