Beh, contando VF continua a mandarmi gli sms "Torna in Vodafone!" a un anno abbondante da quando sono passato a Iliad, direi che a qualcosa gli serve tenere i dati.

Heavy Stavo controllando un po' i dati esposti dall'area clienti ho., sono riuscito a recuperare (in chiaro) solo l'iccid della sim da cui è stata fatta mnp, non è che si tratta di quello?

      handymenny

      chiedevo perchè mi sembrava stupido, per la mia banca c'è un numerico (che penso sia random) come login, poi c'è mail, numero telefono, autenticazione con app (impronta digitale o pin 4 cifre). Non ho mai provato ma voglio sperare che per autorizzare un cambio password vengano combinati almeno 2 di questi 3 secondi fattori..

          deva poste usa una cosa del tipo nome.cognome-annoDiNascita ad esempio

          handymenny Mi correggo, questo è quello che espongono le api (dati dell'utente loggato). Vi sembra familiare?

          {"operationStatus":{"diagnostic":null,"errorCode":null,"status":"OK"},"endUserGetData":{"birthDate":"xxxx-xx-xx","email":"xxxx@xxx.xx","emailVerified":false,"endUserAddressDataList":[{"address":"xxx","addressId":xxx,"addressType":"R","city":"xxx","country":"xxxx","deleteFlag":false,"province":"xx","streetNum":"xx","zipCode":"xxx"},{"address":"xxxxx","addressId":xxx,"addressType":"D","city":"xxx","country":"xxxx","deleteFlag":false,"province":"xx","streetNum":"xx","zipCode":"xxx"},{"address":xxx,"addressId":xxx,"addressType":"B","city":"xxx","country":"xxxx","deleteFlag":false,"province":"xx","streetNum":null,"zipCode":null}],"endUserCommercialAssent":null,"endUserContractNumber":null,"endUserGpsAssent":null,"endUserHabitsAssent":null,"fiscalCode":"xxxx","gender":"xx","hasPaid":null,"name":"xxx","nationality":"xxx","surname":"xxx","age":xxx,"customerId":xxx,"customerIdHash":"xxxxx==","customerStatus":"xxx","hasAccount":true,"isMissingData":xxx,"piva":null},"endUserGetPhoneNumberInfoList":[{"phoneNumber":"xxxx","phoneNumberContractNumber":null,"masterDealerId":null,"masterDealerName":null,"pdvAddress":null,"pdvCity":null,"pdvId":null,"pdvName":null,"pdvPiva":null,"pdvProvince":null,"pdvStreetNumber":null,"pdvZipCode":null,"phoneNumberCommercialAssent":xxx,"phoneNumberGpsAssent":xxx,"phoneNumberHabitsAssent":xxx,"phoneNumberHash":"xxxx==","phoneNumberReasonId":x,"phoneNumberStatus":"ACTIVE","phoneNumberThirdPartiesAssent":false,"roleEndUser":"x","simActivationDate":"xxxx","simCapacity":"xxx","simExpirationDate":"xxxx","simHlr":"xxxx","simIccid":"893910xxxx","simImsi":"22210xxxx","simPuk":"xxxxx","simReasonId":null,"simStatus":"xxx"}]}

                handymenny Hanno abusato l'API dell'area clienti?

                    Ot: ma mi fa morire che quest’anno qualsiasi cosa clamorosa venga o dal mio Pavese o dal mio lodigiano 😆
                    (valle salimbene provincia di Pavia e ci ho parenti)

                    Mi immagino già le aziende di teleselling che comprano i dati violati e iniziano a fare campagne mirate del tipo "Guardi che lei come cliente Ho. è in pericolo! Deve subito cambiare gestore." 😆

                      rieges penso sia più probabile dell'aver bucato il database, visto che c'è praticamente tutto e solo ciò che è visibile da lì. Mi chiedo a che cavolo servano tutti quei dati...

                          Ma la cosa che più mi lascia sbalordito è come hanno fatto ad avere l’intero database, le credenziali di root erano admin admin? 😂

                          Certo che sto GDPR ancora non l'hanno ben compreso, e capisco magari la piccola azienda, ma aziende da miliardi di fatturato con un DPO dedicato trascurare cosi la sicurezza dei dati fa cascare braccia, ma anche testicoli, polmoni, reni occhi.

                            LucaTheHacker Non so se ti ricordi la storia di Hacking Team, che si son fatti fregare GB e GB di dati da sotto il naso e hanno avuto pure la faccia di tolla di dire che non era scappato niente dai loro sistemi informatici perfetti

                              Comunque nello screen che si vede nel tweet la data del post è 12-22-2020 quindi nel caso questi dati sarebbero già in giro da una settimana

                                UmbertoP sembra che siano "in vendita" quindi può essere che nessuno ha ancora comprato... .-.

                                  • [cancellato]

                                  • Messaggio #116
                                  • Modificato

                                  Heavy Perché serve come chiave per validare l'anagrafica? È un dato che lega l'utenza ad una anagafica delle SIM, non ha senso sia hashed, non è un segreto.

                                  Heavy Anche se protetto da cifratura at rest, se hanno bucato l'applicazione che può far quelle query....

                                  LucaTheHacker Che poi, perché gli ex clienti non sono stati cancellati dal DB?

                                  E poi il marketing come vive?

                                  handymenny Benissimo... hanno lasciato le APi che ritornano l'anagrafica esposte in chiaro? Beamossa.

                                  Emmeci Ti stupiresti nel sapere quante aziende non hanno idea di cosa sia il GDPR... e parlo di grosse eh. C'è il tappeto che fluttua a mezz'aria a furia di buttar polvere sotto di esso.

                                  handymenny Mi chiedo a che cavolo servano tutti quei dati...

                                  A far funzionare la bellissima single-page-web-application-moderna-denoialtri... metti che il marketing si inventi una nuova funzione che richieda il campo X? Pronti! Già presente. Che non sarebbe di per sé un problema se i dati che ti fa vedere fossero solo i tuoi...

                                                [cancellato] Benissimo... hanno lasciato le APi che ritornano l'anagrafica esposte in chiaro? Beamossa.

                                                non solo l'anagrafica, ma anche iccid e soprattutto IMSI.. Sul serio, a che servono questi dati nell'area clienti?

                                                    Ciao, che sfiga sono un utente ho.mobile
                                                    Comunque, la direttiva psd2 dovrebbe salvare un po' il sedere da queste situazioni, in particolar modo nei pagamenti.
                                                    Oggi giorno la maggior parte delle banche utilizza 1 o più fattori scelti dal cliente per poter operare sull'home banking quindi avere la sim diciamo clonata o disattivata per mnp non è un problema contrariamente anni fa creava problemi come successo ai clienti ING.
                                                    Spero per loro che avessero almeno i dati sensibili crittografati ( anche se...) come da GDPR .

                                                    Edit:
                                                    I vecchi clienti non si cancellano per vari motivi tra i quali, per esempio, marketing come scrive @[cancellato] oppure fra i più importanti la normativa sull'antiriciclaggio che le aziende devo rispettare per non incorrere in sanzioni e/o blocchi sull'operativitá

                                                      handymenny forse tutti i dati relativi ad un cliente vengono tenuti insieme; cosa improbabile e assai scandalosa, se vera.

                                                        [cancellato] Ti stupiresti nel sapere quante aziende non hanno idea di cosa sia il GDPR... e parlo di grosse eh. C'è il tappeto che fluttua a mezz'aria a furia di buttar polvere sotto di esso.

                                                        Ma immagino, mollano tutta l'incombenza ad una società esterna e ad un DPO esterno che segue anche altri, pagandola il meno possibile giusto per stare al riparo da multe in caso di controlli della finanza o del garante e chi si è visto s'è visto e poi succede che "ah ma dite che se mi fregano il database in chiaro di tutti i clienti prendo una multa calcolata sulla percentuale del fatturato e anche una probabile causa penale? Ma non avevamo incaricato $societaesterna? AH la responsabilità resta nostra? e il DPO è scappato in Svervegia?"

                                                            • [cancellato]

                                                            • Messaggio #121
                                                            • Modificato

                                                            mcpalls Spero per loro che avessero almeno i dati sensibili crittografati ( anche se...) come da GDPR .

                                                            Il GDPR NON obbliga alla cifratura dei dati sensibili.

                                                            Sono le policy stile HIPAA americane a obbligare la cifratura dei dati in flight e at rest.

                                                            Emmeci Noto un altro lettore di Davide.

                                                                  [cancellato] Che non sarebbe di per sé un problema se i dati che ti fa vedere fossero solo i tuoi...

                                                                  Però precisiamo che fino a prova contraria è così (non mi va di essere denunciato😂) .
                                                                  Visto come si sono messe le cose meglio non provarci nemmeno (a provarlo), ero solo curioso di capire cosa esponessero le api dell'area clienti

                                                                    Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                                    P.I. IT16712091004 - info@fibraclick.it

                                                                    ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile