Ho Mobile, data breach che preoccupa

I clienti Ho Mobile hanno trovato un bel regalo sotto l'albero di Natale. Le notizie che si stanno rincorrendo in queste ore, se confermate, sarebbero gravissime: l'MVNO di proprietà di Vodafone avrebbe subito un consistente data breach, con le informazioni personali dei propri clienti in vendita sul dark web. Il condizionale è d'obbligo perché finora il gestore ha negato tutto, ma ha avviato un'indagine interna. Si potrebbe trattare del primo data breach subìto da un operatore di telefonia. La cosa suona molto grave prima di tutto perché riguarda qualcosa che letteralmente tutti abbiamo nelle nostre tasche e poi perché va a sfatare un mito ormai consolidato, ovvero che le compagnie telefoniche siano in grado più di altre realtà di avere cura dei dati dei propri clienti. Se siete clienti Ho e non sapete cosa fare, vi aiutiamo noi!

Chi è Ho Mobile

Ho Mobile è un gestore telefonico cosiddetto low cost, per la precisione un ESP MVNO (qui vi spieghiamo le differenze tra i vari tipi di operatori), di proprietà di Vodafone. Il "gigante" inglese produce le sim e fornisce la rete, ma i database della clientela non sono condivisi. Si può essere clienti Ho senza che Vodafone ne sia a conoscenza, ad esempio, e anche i servizi di assistenza clienti sono indipendenti. I gestori low cost sono diventati molto popolari in Italia dopo l'ingresso di Iliad nel mercato, che ha occupato il posto di quarto player lasciato vuoto da H3G nel frattempo fusasi con Wind. Iliad però è un MNO perché possiede la rete su cui opera. La scelta di offrire prezzi molto bass è meramente commerciale e non operativa dal momento che Iliad per esistere ha gli stessi costi di Tim, Vodafone e WindTre (c'è infatti chi nutre molti dubbi sulla sostenibilità). Le low cost come Ho invece possono offrire i loro prezzi in virtù del fatto che innanzitutto hanno dietro un grosso MNO a coprir loro le spalle e poi perché hanno un sistema completamente diverso di rivolgersi alla clientela. Ad esempio, risparmiano su personale e affitti: non avendo negozi fisici, un'importante fetta di costi viene tagliata via. L'esperienza di attivazione Ho (come del resto la procedura per passare a Iliad) si svolge tutta online. Questa è una prima spiegazione alla fuga di dati: svolgendo tutta l'attività su Internet, è facile pensare che anche le piattaforme che gestiscono i clienti siano online, magari in cloud per risparmiare ancora di più. Vi abbiamo raccontato più volte cosa può succedere quando le piattaforme cloud non sono abbastanza protette.

ho mobile data breach

Il pericolo sim swapping

Non si sa di preciso l'entità di questo data breach, si parla di 2/2.5 milioni di nomi. Considerando che Ho prima dell'estate dichiarava 2 milioni di clienti, è facile immaginare che si tratti dell'intera customer base. I dati rivelati sono quelli anagrafici completi, ovviamente il numero di telefono e ICCID (vi spieghiamo cos'è in questo articolo dove, tra le altre cose, vi diciamo quanto è semplice passare una sim aziendale a Vianova). Cosa può fare un malintenzionato con questi dati? Senza andare troppo lontano e immaginare scenari da codice penale, può semplicemente iscrivervi a liste marketing senza il vostro consenso. Potreste quindi ricevere più chiamate del solito da parte di call center che vogliono vendervi qualcosa o SMS spam/promozionali. Le liste clienti sono molto appetibili sul mercato ufficiale e meno, perché i servizi di telemarketing sono sempre alla ricerca di nuove basi clienti da esporre a proposte commerciali e procurarsene di lecite e pulite è difficile e costoso. Se il data breach di Ho mobile è servito a questo, il fastidio è relativamente sopportabile. Quello che è veramente pericoloso, secondo gli esperti del settore, è la probabilità di sim swapping. Si tratta molto banalmente della sostituzione della sim. L'abbiamo fatta mille volte, quando si è smagnetizzata, quando abbiamo sbagliato a tagliarla e l'abbiamo rotta, quando era vecchia e volevamo la nuova, quando abbiamo comprato il telefono che richiedeva la nano sim ma noi avevamo la micro. Per sostituire la sim si va dal negoziante, si consegna un documento e in pochi minuti si è a posto. Quando non c'è un negozio fisico, la procedura si fa online e diventa difficile quindi identificare inequivocabilmente la persona che fa la richiesta. Cosa implica un sim swapping fraudolento? Significa dirottare su un'altra sim diversa da quella originaria tutto il sistema di identificazione per le operazioni bancarie online (OTP, autenticazione a due fattori, richieste di reset password). Un sim swapping che coglie nel segno può svuotare il conto bancario in poco tempo.

Come comportarsi e cosa fare

Abbiamo già detto che la compagnia ha negato l'attacco informatico ma ha disposto un'indagine interna, il che equivale a una mezza ammissione. Cosa fare allora se si è clienti Ho Mobile e si viene presi da un leggerissimo senso di panico? Su due piedi, nulla. Se i dati sono stati rubati e messi in vendita, non possiamo sapere chi li ha comprati e cosa ne farà. Non facciamoci prendere dal panico! È inutile bombardare il servizio clienti e correre a fare la portabilità verso un altro gestore. Nel primo caso non otterremo risposte perché le stiamo chiedendo a chi non ne possiede e nel secondo intaseremmo i sistemi con richieste che verrebbero evase con difficoltà. Restiamo calmi e riflettiamo. Se siamo stati inseriti in qualche giro di telemarketing molesto, blocchiamo i numeri. A furia di risultare irraggiungibile, il numero diventerà poco appetibile e verrà depennato. Se la vostra sim smette improvvisamente di funzionare restituendo il messaggio "nessun servizio" o "solo chiamate di emergenza" può essere un segnale di allarme. Una sostituzione di sim implica necessariamente che la vecchia smetta di funzionare per far andare la nuova, non possono esserci due sim fisiche che funzionino contemporaneamente con lo stesso numero. A quel punto contattate la vostra banca per comunicare il problema e attivate le procedure per il furto di identità. Per recuperare il vostro numero, contattate il servizio clienti Ho e avviate la procedura di disconoscimento. Con un po' di fortuna è possibile recuperarlo, con i tempi tecnici del caso. Vi lasciamo qui un ottimo articolo di ulteriore approfondimento.

potrebbe interessarti anche

La Regina Elisabetta II, moderna e tecnologica

Elisabetta II, Regina digitale In queste ore, il mondo piange l'ultima delle "immortali", la regina Elisabetta II. Scomparsa a 96 anni, nella sua lunga vita è stata un'icona di tradizione e modernità…

Leggi tutto l'articolo
Tech Talk

Huawei, voci di crisi? Cosa sta succedendo al colosso cinese

La notizia ha suscitato più di qualche perplessità: il leader cinese della telefonia Huawei ha annunciato di essere a rischio sopravvivenza. Che succede?

Leggi tutto l'articolo
Tech Talk

Lo strano caso di Ashburn, Virginia

Chiunque gestisca un sito internet lo sa: entrando in Google Analytics per analizzare il traffico c'è sempre qualche visita da Ashburn, Virginia. Perché?

Leggi tutto l'articolo
Tech Talk

iscriviti alla nostra newsletter

Contattaci

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.