Quando qualche giorno fa ti ho parlato di SIM Swapping ho volutamente tenuto (parzialmente) fuori dal discorso la questione legata a ho. Mobile per tanti buoni motivi: credo che una notizia vada verificata e data solo quando c’è certezza assoluta dell’accaduto, non c’è bisogno di alimentare panico e polemica per buttare ulteriore benzina sul fuoco e – soprattutto – occorre dare la possibilità al “bersaglio dell’attacco” di fare le opportune verifiche informando il più tempestivamente possibile le vittime, in questo caso specifico gli impotenti clienti dell’operatore virtuale di Vodafone.

La risposta è quindi sì, il furto dei dati è avvenuto e vi è certezza portata nero su bianco da ho. Mobile stessa il 4 gennaio 2021, ben 7 giorni dopo rispetto alla diffusione del possibile data breach:

Agevolo per coloro che si avvalgono di strumenti di accessibilità e non possono quindi “leggere dall’immagine” che ho inserito poco sopra:

Milano 4 gennaio 2021 – ho. Mobile, come dichiarato ufficialmente lo scorso 28 dicembre, ha avviato indagini in collaborazione con le Autorità investigative su presunte sottrazioni di dati dei suoi clienti di telefonia mobile.

Dalle ulteriori verifiche effettuate, che sono tuttora in corso, emerge che sono stati sottratti illegalmente alcuni dati di parte della base clienti con riferimento solo ai dati anagrafici e tecnici della SIM. L’azienda comunica che non sono stati in alcun modo sottratti dati relativi al traffico (sms, telefonate, attività web, etc.), né dati bancari o relativi a qualsiasi sistema di pagamento dei propri clienti.

ho. Mobile denuncia tale attività illecita a danno dei propri clienti e comunica di aver già sporto denuncia alla Autorità inquirente e informato il Garante della Privacy, con i quali sta lavorando in stretto contatto.

Purtroppo anche ho. Mobile, come numerose altre aziende, è rimasta vittima di attacchi informatici che si sono intensificati e accelerati durante la pandemia.

In queste ore stiamo procedendo ad informare solo i clienti ho. Mobile coinvolti, e abbiamo già attivato ulteriori e nuovi livelli di sicurezza per mettere la clientela al riparo da potenziali minacce. Ulteriori azioni a protezione dei dati sottratti sono in corso di implementazione e verranno comunicate ai clienti.

Qualora i clienti vogliano comunque procedere alla sostituzione della propria SIM, potranno richiederne la sostituzione gratuita presso i punti vendita autorizzati.

Stiamo assistendo a diversi fenomeni speculativi sui social network e pertanto invitiamo i clienti a verificare direttamente con i canali ufficiali di ho. Mobile (sito, app , call center) ogni informazione ed eventuale esigenza di supporto.

Il comunicato è raggiungibile all’indirizzo ho-mobile.it/comunicazione e qui trovi una versione salvata a oggi che sto scrivendo l’articolo: web.archive.org/web/20210104133318/https://www.ho-mobile.it/comunicazione.

Qualcuno ben più saggio di me in passato mi ha sempre insegnato che “solo chi fa sbaglia“, ed è quindi del tutto lecito errare, chiedere scusa per l’accaduto e cercare di rimediare in ogni modo e maniera, pesando attentamente quelle parole che si andranno a utilizzare per cospargersi il capo di cenere e raccontare nel dettaglio (possibilmente) un accaduto che non sarebbe in realtà mai dovuto succedere, soprattutto perché a farne le maggiori spese siamo proprio noi, clienti di un operatore che ha preteso dati sensibili che non è stato poi capace di custodire correttamente.

La mia rabbia – che ho una SIM ho. Mobile perché acquistata per alcuni test fatti in passato (e riportati anche in questo blog) – deriva dal fatto che quelle parole sono arrivate tardi e male. Tardi perché non è giusto e non è possibile continuare a smentire con forza una sottrazione di dati che 7 giorni dopo l’avvenuta segnalazione si scopre essere fondata, reale, portata su un mercato nero che non ha modo alcuno di dirci in quali mani finirà e perché. Male perché l’utilizzo della parola “solo” va ad alleggerire una gravità dei fatti che di leggero non ha davvero nulla:

[…] emerge che sono stati sottratti illegalmente alcuni dati di parte della base clienti con riferimento solo ai dati anagrafici e tecnici della SIM […]

Quel solo pesa quanto un macigno perché un perfetto sconosciuto (o gruppi di) può conoscere per filo e per segno l’identità di ogni singolo cliente dell’operatore. Il suo nome e cognome, la sua data di nascita, l’indirizzo di residenza e qualsiasi altro dettaglio “evidentemente di poco conto” (se vogliamo rimanere sull’alleggerimento ufficialmente dato alla nota di ho. Mobile) che in realtà consente di utilizzare un’identità evidentemente non propria per muoversi in qualsiasi maniera si voglia. Un call center a cui fornire il mio indirizzo di posta elettronica e il mio numero di telefonia mobile per permettere l’invio di comunicazioni pubblicitarie non richieste (forse il minore dei mali), una fornitura attivata grazie alla precisione di ogni dato mi riguardi ma attivata senza la mia reale intenzione, la richiesta di informazioni sul mio conto inventando una qualsiasi scusa, una dimenticanza, dimostrando però di essere la persona lecita per chiedere quelle informazioni – magari riservate – e chissà cos’altro ancora.

La colpa è della Covid-19 e le altre aziende lo sanno

E – aggiungerei alla già sufficientemente grande stupidata riportata – che c’è un evidente concorso di colpe con lo Smart Working che ha portato i pirati a poter agire comodamente dalla camera di casa propria. Sì perché tra le concause riportate in un comunicato stampa ufficiale c’è qualcuno che ha ben pensato di buttarla in vacca nascondendosi dietro una pandemia che ha certamente colpito moltissimo noi tutti e un mondo del lavoro che si è dovuto rapidamente adeguare, ma che non ha mai dettato regole nuove in quanto a sicurezza dei dati.

[…] Stretta collaborazione con le autorità inquirenti

COVID-19 ha intensificato i crimini informatici

La pandemia e la malattia Covid-19 non c’entrano (e non potrebbero in alcun modo) con l’accaduto in sé. Non è davvero possibile scaricare la colpa su ciò che ci ha travolti lasciando in disparte l’evidente poca attenzione di uno o più elementi facenti parte dello staff dell’operatore e/o di quei consulenti pagati un tanto al chilogrammo per sviluppare qualcosa che ha poi lasciato una porta aperta “quanto basta” per permettere a un malintenzionato di entrare e prelevare indisturbato quei dati.

Anche in questo caso c’è un aneddoto, è legato alla mia mamma che – puntualmente – mi dava tante botte e punizioni direttamente proporzionali alle volte che dicevo “Mamma, ma anche gli altri hanno fatto questa cosa!“, con tanto di immediata esclamazione e correzione che evidenziava il totale menefreghismo verso il comportamento altrui, lasciando che fosse il mio a prendersi tutta la colpa. Tu hai fatto l’errore, tu ne paghi le conseguenze, a prescindere che gli altri abbiano fatto la stessa stronzata.

Cosa fare adesso?

È qui che tornano in auge le regole riportate nell’articolo riguardante il cambio carta, te le ripropongo:

• cerca sempre di evitare come la peste l’autenticazione a due fattori che richiede un messaggio SMS come secondo dei due fattori di riconoscimento, preferisci sempre l’utilizzo di un’applicazione come Google Authenticator, Authy (consigliato) o 1Password (consigliato con riserva, nel senso che per alcuni servizi è sempre bene preferire l’uso di Password Manager separato dai token generati per la 2FA).
• Utilizza una chiave di autenticazione hardware in tuo possesso ove possibile, è una pratica spesso scelta (fortunatamente) da alcuni istituti bancari per garantire l’accesso al conto al solo intestatario dello stesso, si parla quindi di U2F (Universal 2nd Factor) e non più 2FA, appoggiandosi a dispositivi YubiKey o qualsiasi alternativa faccia parte della FIDO Alliance, vedi fidoalliance.org/how-fido-works.
• Evita che la banca utilizzi sistemi di invio codici d’accesso a mezzo email o SMS, cerca di preferire l’approvazione dell’accesso tramite applicazione ufficiale. Ci sono istituti bancari che chiedono la password, un codice numerico da te scelto (e sporadicamente modificato) e – infine – un’approvazione tramite applicazione ufficiale installata su smartphone. Tre verifiche che richiedono maggiori sforzi per poter essere affrontate da uno sconosciuto.

Nello specifico dell’accaduto ho. Mobile puoi certamente chiedere un cambio carta gratuito come riportato dalle domande frequenti dello stesso operatore: Puoi recarti presso uno dei nostri rivenditori autorizzati e richiedere il cambio della SIM gratuitamente portando con te la SIM attuale e un documento di identità valido. Trova il negozio più vicino a te su https://www.ho-mobile.it/trova-negozio.html.

Non puoi attualmente richiedere il cambio della SIM telefonicamente (con spedizione a casa) perché è necessario il riconoscimento de visu con documento di identificazione a portata di mano. L’operatore sta nel frattempo inviando SMS agli utenti colpiti dal furto dati, afferma (nella stessa pagina FAQ) che invierà email a chi invece ha una SIM dati che evidentemente non è fatta per la ricezione / invio di SMS. Sono certo che non tutti i negozi saranno pronti a esaudire la richiesta dei clienti (e già qualcosa in merito salta fuori su Twitter), sarà solo il tempo a dirci come evolverà la questione sul furto dei dati di ho. Mobile.

Sostituzione ICCID automatica

Ci scusiamo se abbiamo dovuto prendere più tempo del solito per dare risposta alle vostre domande.

Stiamo lavorando senza sosta su più fronti e continuiamo a collaborare con le Autorità giudiziarie e con il Garante della Privacy. Abbiamo concentrato i nostri sforzi per rifornire con le SIM i punti vendita autorizzati e ci scusiamo per il disagio causato in questi giorni.

In parallelo abbiamo sviluppato una soluzione innovativa per incrementare la sicurezza: abbiamo rigenerato il codice seriale della SIM a tutti i clienti coinvolti, che verranno informati via SMS nella giornata di oggi e potranno ricevere in qualsiasi momento il nuovo codice seriale da utilizzare  in caso di cambio operatore. Questo nuovo codice sostituisce quello stampato sulla SIM, oggetto dell’attività illecita, che dunque non avrà più alcun valore.

Il team di ho. Mobile è sempre a vostra disposizione.

Il testo compare al solito indirizzo di cui ti avevo già parlato nei paragrafi precedenti, punta il browser all’URL ho-mobile.it/comunicazione se vuoi leggerlo con i tuoi stessi occhi. Cosa è successo quindi al tuo “vecchio” ICCID? In pratica è stato reso nullo, inservibile, non potrà essere comunicato in sede di richiesta cambio carta o cambio operatore. Se hai già intrapreso questa azione e ti è arrivato nel frattempo il messaggio SMS che ti mostro in immagine qui sotto, sappi che potresti subire dei ritardi o il fallimento della portabilità causato proprio dal cambio di quel prezioso codice.

Se la mia memoria non inganna, è la prima volta nella storia della telefonia mobile italiana che questa cosa succede. Nessun operatore aveva mai intrapreso prima la via dell’invalidazione dei codici ICCID impressi sulla carta SIM, cavandosela sempre e comunque con un cambio carta in caso di necessità (un ICCID muore, un altro nasce passando per una SIM “vergine”, mai utilizzata prima). Non credo (a meno di essere smentito, l’area commenti è lì che ti aspetta) che ci si sia inventato il metodo per riprogrammare la SIM, suppongo (in maniera un po’ più logica e meno complicata) che sia stata creata una sorta di mappatura tra vecchio e nuovo ICCID di ciascuna SIM presente sul territorio, un ulteriore campo di un database clienti che oggi renderà quindi più difficile (impossibile in realtà, a meno di subire un nuovo furto) effettuare il SIM Swapping nonostante si possiedano i dati anagrafici degli utilizzatori.

Inevitabili ritardi e complicazioni si prospettano quindi per coloro che hanno deciso di abbandonare l’operatore virtuale di Vodafone, chi vorrà invece rimanere tra le fila di ho. Mobile ottiene così un indiscutibile vantaggio nel non doversi più recare necessariamente presso un negozio autorizzato per effettuare il cambio carta (cosa che ha messo immediatamente in difficoltà i negozianti, i quali hanno anche rimandato a casa più e più volte persone che si erano immediatamente mosse in tal senso). Di contro dovrà ricordarsi – nel caso in cui un domani voglia cambiare operatore o chiedere un cambio carta per smarrimento – che sarà assolutamente fondamentale possedere il nuovo ICCID già da subito, manda quindi un messaggio SMS al numero segnalato (ammesso tu abbia credito residuo sulla SIM) e tieni da parte il tuo nuovo ICCID, salvalo tra i tuoi documenti così da poterlo avere a portata di clic non appena ne avrai necessità, qualsiasi cosa accada in futuro (un esempio pratico? Potresti perdere lo smartphone contenente quella SIM e non essere più capace di comunicare il tuo ICCID per il cambio carta, non esattamente la cosa più comoda del mondo).

#StaySafe