Presunto leak del database clienti di ho. mobile [confermato]

matteocontrini · 2020-12-28T21:52:19+00:00

Traduco: Un attore malevolo sta vendendo un database dell'operatore ho. mobile di Vodafone. I dati comprendono informazioni personali di 2,5 milioni di cli...

LucaTheHacker

andreagdipaolo Magari mi preoccuperei di più di qualcuno che non voleva essere riconosciuto e a cui potremmo invece associare un'identità, e ai potenziali sbattimenti da callcenter che potrebbero iniziare a chiamare determinati target

Io mi immagino qualche personaggio pubblico o qualcuno che non voleva far sapere informazioni su di sé per motivi suoi, adesso é fregato, e con un multa non risolveresti il problema.

andreagdipaolo

LucaTheHacker La singola persona potrebbe chiedere il risarcimento danni. Mi ricordo quando avevano leakato i dati personali di Virginia Raggi in un breach di Vodafone, ma forse ricordo male. Poi non se ne parlò più.

Se è vero è grave ma agire di impulso ora non ha senso. Quel che è sulla piazza sta lì e nessuna nostra azione può fare rewind. Io pure ho delle sim ho in famiglia, non sono mica contento ma penso proprio che non toccherò nulla e seguirò la vicenda aspettando istruzioni.

[cancellato]

con il cellulare è il massimo che sono riuscito a fare.
Comunque io cambierei gestire se avessi ho...

Philein

Se la notizia fosse confermata, quali sono i rischi derivanti da un uso improprio di questi dati? Mi viene in mente solo il reset della password di alcuni servizi, ma quanto é facile che targhettizzino i singoli SMS di milioni di clienti?

uadopo

Philein ma quanto é facile che targhettizzino i singoli SMS di milioni di clienti

Fosse vero aspetta che vendano il db 😐

uadopo

aliceadsl Lo facevano già anche prima 😂😂 Da quando ho messo ho. ricevo spam in quantità industriale. Veramente uno dei peggiori operatori mobili!

Cosmopolithanks

Quindi al momento c'è solo una fonte su Twitter che ha dato la notizia... media importanti che coprono questa vicenda ci sono?

matteocontrini

Cosmopolithanks Quindi al momento c'è solo una fonte su Twitter che ha dato la notizia... media importanti che coprono questa vicenda ci sono?

È spuntato fuori alle 22 e non sono neanche le 9... Prima di pubblicare a vuoto si spera verifichino qualcosa, c'è a malapena un tweet al momento non verificabile

EnriRai

Io ho comprato la sim verso il 21 dicembre.. sono a rischio oppure il fatto è antecedente?

mcpalls

Elenco telefonico pubblico costituito da numeri di cellulare con tutte le conseguenze del caso.
Mnp di sim per usi illeciti ( possedere sim intestate ad altri ) anche se questo si poteva giá fare con un operatore virtuale l..a
fino a qualche annetto fa. Ora non saprei gli anni passano😀

Cosmopolithanks

matteocontrini ok grazie,non posso leggere tutto il topic e vorrei capire la solidità della notizia essendo cliente ho

edofullo

handymenny Vuoi mettere che sbatti mettere nella select tutti i dati che ti servono per poi ricordarti che ne hai dimenticato uno e devi rifare il deploy del backend?

Molto più facile un bel SELECT * FROM (non)ho.clienti [...], il problema è quello che ci sarebbe dovuto essere al posto di [...] ma che evidentemente non c'era (magari pure quello era troppo sbatti) 🙃

mcpalls

edofullo
Non penso proprio che un db da 2.5gb lo si Copy con una select oppure scusami non ho capito cosa volevi scrivere.

handymenny

edofullo è da dire però che quell'api prende in input il customerid e il canale su cui la stai utilizzando (WEB, APP ecc..). È probabile che la stessa identica venga usata anche dai rivenditori e dall'assistenza.

Che sia una select * concordo, molti dati si trovano sia "hashati" che in "chiaro"

MobileAddicted

mirko991 bhe se fai la portabilità ad un’altro operatore gli togli la possibilità di farglielo fare a loro ahahahah, però si i tuoi dati li hanno presi :/

edofullo

mcpalls Era una battuta rispondendo al messaggio di handymenny.
Non so come si facciano le cose nell'enterprise quindi mi zittisco ma sinceramente non penso sia così impossibile ottenere 2 GB di dati da una query SQL se si hanno i permessi giusti*.

Cito un mio messaggio di un'altra discussione:

La mia banca mi manda l'OTP via SMS (che ha grossi problemi di sicurezza)... basta che qualcuno riesce a fare una migrazione del numero e sono fregato...

Io non riesco a capire quanto ci voglia perchè le società capiscano che l'SMS è un modo insicuro per verificare l'identità di qualcuno .
Mi viene in mente che pure l'app PosteID per lo SPID in grado di entrare nel fascisolo sanitario se la vuoi spostare su un nuovo telefono manda semplicemete un SMS per la verifica.

*edit: puoi anche prendere 1000 record alla volta, volendo.

vic3000

edofullo non penso sia così impossibile ottenere 2 GB di dati da una query SQL se si hanno i permessi giusti

o piu` banalmente, se le api accettano un parametro "numero di telefono o ICCID o quello che ti pare" -E- non viene verificato lato server che appartenga all'utente che ha fatto login (magari la verifica e` lato client in js) -E- non parte nessun allarme per uso anomalo delle api, puoi fare tanti dump singoli, tanto i numeri di telefono sono numeri (di 6-7 cifre) che cominciano con 3, l'iccid pure, chi fa queste cose ha tempo e pazienza (nessuno ti garantisce che non avessero cominciato due mesi fa), spesso usare tanta banda tutta insieme e` pericoloso

mcpalls

edofullo
La select è da escludere perchè poi come salvi il dato tramite tasto print?
Ci vuole un client che processi l'output restituito
Si usano le utility da riga di comando etc

RobertoMattioli

[cancellato]

[cancellato] 2.5M di record passano tranquillamente inosservati come volumetria

Esistono dei sistemi di monitoraggio, a livello enterprise, che fanno questo mestiere, rilevando tra le altre cose l'utenza di sistema operativo coinvolta, l'utenza di database (non necessariamente le due utenze coincidono), la query SQL utilizzata, l'indirizzo IP dal quale è stata lanciata la query e l'IP di destinazione (il db server). Da vedere poi se questi sistemi sono in piedi, se sono stati tarati efficacemente; e comunque non impediscono il furto di dati, per evitare quello bisogna fare altro...

Malaga

LucaTheHacker 😂😂 😂😂
si ride per non piangere.

[cancellato]

Alcuni mezzi di informazione non riporteranno mai la notizia. Vodafone paga bene le case di pubblicità.. perdere un cliente non é desiderabile

vic3000

[cancellato] Alcuni mezzi di informazione non riporteranno mai la notizia

questo non aumenterebbe la fiducia nel brand (il passaparola e` potente)

(io sono della scuola full-disclosure)

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile