Presunto leak del database clienti di ho. mobile [confermato]
Quindi al momento c'è solo una fonte su Twitter che ha dato la notizia... media importanti che coprono questa vicenda ci sono?
Io ho comprato la sim verso il 21 dicembre.. sono a rischio oppure il fatto è antecedente?
Elenco telefonico pubblico costituito da numeri di cellulare con tutte le conseguenze del caso.
Mnp di sim per usi illeciti ( possedere sim intestate ad altri ) anche se questo si poteva giá fare con un operatore virtuale l..a
fino a qualche annetto fa. Ora non saprei gli anni passano
Cosmopolithanks Quindi al momento c'è solo una fonte su Twitter che ha dato la notizia... media importanti che coprono questa vicenda ci sono?
È spuntato fuori alle 22 e non sono neanche le 9... Prima di pubblicare a vuoto si spera verifichino qualcosa, c'è a malapena un tweet al momento non verificabile
matteocontrini ok grazie,non posso leggere tutto il topic e vorrei capire la solidità della notizia essendo cliente ho
- Modificato
handymenny Vuoi mettere che sbatti mettere nella select tutti i dati che ti servono per poi ricordarti che ne hai dimenticato uno e devi rifare il deploy del backend?
Molto più facile un bel SELECT * FROM (non)ho.clienti [...]
, il problema è quello che ci sarebbe dovuto essere al posto di [...] ma che evidentemente non c'era (magari pure quello era troppo sbatti)
mirko991 bhe se fai la portabilità ad un’altro operatore gli togli la possibilità di farglielo fare a loro ahahahah, però si i tuoi dati li hanno presi :/
- Modificato
mcpalls Era una battuta rispondendo al messaggio di handymenny.
Non so come si facciano le cose nell'enterprise quindi mi zittisco ma sinceramente non penso sia così impossibile ottenere 2 GB di dati da una query SQL se si hanno i permessi giusti*.
Cito un mio messaggio di un'altra discussione:
La mia banca mi manda l'OTP via SMS (che ha grossi problemi di sicurezza)... basta che qualcuno riesce a fare una migrazione del numero e sono fregato...
Io non riesco a capire quanto ci voglia perchè le società capiscano che l'SMS è un modo insicuro per verificare l'identità di qualcuno .
Mi viene in mente che pure l'app PosteID per lo SPID in grado di entrare nel fascisolo sanitario se la vuoi spostare su un nuovo telefono manda semplicemete un SMS per la verifica.
*edit: puoi anche prendere 1000 record alla volta, volendo.
[cancellato] 2.5M di record passano tranquillamente inosservati come volumetria
Esistono dei sistemi di monitoraggio, a livello enterprise, che fanno questo mestiere, rilevando tra le altre cose l'utenza di sistema operativo coinvolta, l'utenza di database (non necessariamente le due utenze coincidono), la query SQL utilizzata, l'indirizzo IP dal quale è stata lanciata la query e l'IP di destinazione (il db server). Da vedere poi se questi sistemi sono in piedi, se sono stati tarati efficacemente; e comunque non impediscono il furto di dati, per evitare quello bisogna fare altro...
LucaTheHacker
si ride per non piangere.
- Modificato
edofullo non penso sia così impossibile ottenere 2 GB di dati da una query SQL se si hanno i permessi giusti
o piu` banalmente, se le api accettano un parametro "numero di telefono o ICCID o quello che ti pare" -E- non viene verificato lato server che appartenga all'utente che ha fatto login (magari la verifica e` lato client in js) -E- non parte nessun allarme per uso anomalo delle api, puoi fare tanti dump singoli, tanto i numeri di telefono sono numeri (di 6-7 cifre) che cominciano con 3, l'iccid pure, chi fa queste cose ha tempo e pazienza (nessuno ti garantisce che non avessero cominciato due mesi fa), spesso usare tanta banda tutta insieme e` pericoloso
[cancellato]
Alcuni mezzi di informazione non riporteranno mai la notizia. Vodafone paga bene le case di pubblicità.. perdere un cliente non é desiderabile
- Modificato
[cancellato] Alcuni mezzi di informazione non riporteranno mai la notizia
questo non aumenterebbe la fiducia nel brand (il passaparola e` potente)
(io sono della scuola full-disclosure)
A me i dati con ho non funzionano
Domanda stupida
non possiedo ho-mobile
ma per avere maggiore sicurezza con le app bancarie
quale metodo consigliate?
Il fatto che la notizia stia uscendo in diverse testate e non ci sia una smentita ufficiale dal gruppo non fa ben pensare.
onestamente non mi preoccupo di nulla, non serve rubare una sim per arrivare al mio indirizzo (nei forum, anche questo) si pubblicano di continuo.
e facendo le ricariche con PayPal non prendono nulla.
certo, sarebbe uno sbattimento nel caso facessero un sim swapping.
per fare cosa poi?
Premesso questo, sarebbe professionale smentire la cosa, se non fosse vero, il tempo che passa mi fa sempre più credere sia reale.
ovviamente ben felice di essere smentito dai tecnici del forum