Aggiornamenti sul data breach a ho.mobile

EDITORIALE – Arriva la conferma ufficiale della notizia che avevamo dato pochi giorni fa in merito al data breach ai danni di ho.mobile, l’operatore virtuale di Vodafone.


È la stessa azienda a diramare un comunicato ufficiale secondo cui, all’esito delle indagini avviate in collaborazione con le Autorità investigative sulla sottrazione di dati dei suoi clienti di telefonia mobile, è emerso che sono stati sottratti illegalmente alcuni dati di parte della base clienti con riferimento solo ai dati anagrafici e tecnici della SIM.


L’azienda precisa che non sono stati in alcun modo sottratti dati relativi al traffico (sms, telefonate, attività web, etc.), né dati bancari o relativi a qualsiasi sistema di pagamento dei propri clienti.


ho.mobile, pertanto, comunica di aver già sporto denuncia alla Autorità inquirente e, soprattutto, di avere informato il Garante della Privacy, con i quali sta lavorando in stretto contatto.
“In queste ore -fanno sapere dall’azienda di telefonia mobile- stiamo procedendo ad informare solo i clienti ho. Mobile coinvolti, e abbiamo già attivato ulteriori e nuovi livelli di sicurezza per mettere la clientela al riparo da potenziali minacce. Ulteriori azioni a protezione dei dati sottratti sono in corso di implementazione e verranno comunicate ai clienti.


Qualora i clienti vogliano comunque procedere alla sostituzione della propria SIM, potranno richiederne la sostituzione gratuita presso i punti vendita autorizzati.”


Giova, tuttavia, rimarcare che poiché gli hacker sono entrati in possesso dell’ICCID, il codice internazionale di 19 cifre che identifica in maniera univoca la SIM, per i clienti di ho.mobile coinvolti nel furto di dati rimane comunque alto il rischio di rimanere vittima di un attacco di tipo SIM Swap, ossia quella modalità che consente di clonare la SIM e accedere poi a servizi online.
L’operatore ha iniziato a contattare tutti gli utenti coinvolti che ora ottenere una sostituzione gratuita della propria SIM.

Per motivi di sicurezza dovranno farlo di persona, documenti alla mano, nei negozi abilitati.


Cosa si intende, tecnicamente, per violazione dei dati personali (data breach)?
È una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.


A norma di legge, il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la Protezione dei Dati Personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.


Il responsabile del trattamento che viene a conoscenza di una eventuale violazione, inoltre, è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.
Infine, come riporta anche il sito di Repubblica, si aggiunga che l’attacco a ho.mobile va contestualizzato in uno scenario di forte crescita di attacchi hacker durante la pandemia.


Anche il Governo, in un report di fine anno, ha sottolineato tale grave situazione.
Coinvolte anche altre grandi società, come Campari e, purtroppo, anche infrastrutture critiche come l’Agenzia Europea del Farmaco e l’IRBM di Pomezia: i cyber-criminali erano, in questo caso, alla ricerca di informazioni riservate sui vaccini antiCovid-19.