Veehxia E se arrivasse un bel multone dal garante della privacy perché i dati erano mantenuti in maniera errata?
Presunto leak del database clienti di ho. mobile [confermato]
davidebissoli97 VEI è una società esterna alla fine, probabilmente ben poche
pascop96 solo richiedendo un cambio SIM per cambiare il seriale della SIM ed evitare porting non voluti, immagino...
Se basta una autocertificazione per farsi sostituire la sim.. Possono anche fare a meno dell'iccid: https://supporto.ho-mobile.it/zsnzc94677/attachments/zsnzc94677/FAQ-risolvo-un-problema/1/2/Modulo_autocertificazione_smarrimento.pdf
[cancellato]
Il danno ormai è fatto, inutile agire d'impeto senza ragionare... aspettate e vedete cosa farà l'operatore, che per certo dovrà confermare o smentire l'accaduto, non può far spallucce (anche perché il GDPR poi punisce).
Se fosse confermato, dovranno giocoforza farvi almeno il cambio SIM.
Pazienza, non c'è nulla ripeto che possiate fare.
matteocontrini Come danno d'immagine, non ti difendi...
LucaTheHacker L'hanno copiato, non eliminato.
deva Swap SIM. Avendo l'ICCID puoi effettuare richiesta di portabilità del numero con la complicità di negozianti che non ti chiedono il documento di identità, e se quello è il token 2FA per gli SMS di conferma della banca, ecco che se conosci anche le credenziali utente lo puoi impersonare e svuotargli il conto.
secondo me se la notizia fosse reale chiuderà ho.
[cancellato] 2.5M di record passano tranquillamente inosservati come volumetria.
Ad occhio e croce dovrebbero essere circa 2GB di tabella, se fosse un record per utente, sul server dedicato al database dovresti accorgertene all'istante.
handymenny Se basta una autocertificazione per farsi sostituire la sim.. Possono anche fare a meno dell'iccid: https://supporto.ho-mobile.it/zsnzc94677/attachments/zsnzc94677/FAQ-risolvo-un-problema/1/2/Modulo_autocertificazione_smarrimento.pdf
Alla faccia! E chi lo sapeva, di male in peggio...
cioè uno mi ruba il telefono e con una semplice "password dimenticata" la resetta via sms? sul serio??
e se anche è così, ok la psw ma... il nome utente come fanno ad averlo?
LucaTheHacker VF a livello internazionale ha un lordo di oltre 50 miliardi, è il più grande carrier sul mercato Indiano ad esempio.. solo con quello che fan li in un mese ci pagano qualunque multa astronomica che gli possan dar in Italia.
[cancellato] Swap SIM. Avendo l'ICCID puoi effettuare richiesta di portabilità del numero con la complicità di negozianti che non ti chiedono il documento di identità, e se quello è il token 2FA per gli SMS di conferma della banca, ecco che se conosci anche le credenziali utente lo puoi impersonare e svuotargli il conto.
Come ha postato handymenny poco fa si potrebbe fare anche l'autocertificazione...
deva Gran parte delle banche italiane purtroppo fa la recovery tramite SMS, sia per la password, sia per l'invio della 2FA.
Tralasciando che potrebbero anche bucarti la mail senza problemi se usi gli SMS come "verifica".
Il nome utente è quasi sempre semplicissimo, cognome.nome o nome.cognome
[cancellato]
- Modificato
LucaTheHacker Perché secondo te non c'è nulla che fa traffico su quel database?
Dai, per piacere, non arrampicarti sugli specchi parlando di cose di cui non hai esperienza... se importanti aziende che hanno budget rilevante nel campo security vengono ciclicamente bucate e gli vengono sottratti ogni volta giga e giga di dati, forse la cosa è un po' più complessa di come la ved tu, no?
LucaTheHacker Ho N banche online. Nessuna ha manco vagamente user che assomigliano a nome.cognome. Non parlare in assoluto se sai solo un esempio.
- 4ALL
ma dove lo hanno pubblicato? perché se è su pastebin mi ricordo che avevano pubblicato pure un presunto leak a nexi che in realtà era un falso, e cosi ci sono stati altri falsi, probabilmente al solo scopo di creare un danno di immagine
[cancellato] Beh sicuramente qualcosa possono fare: sostituire a tutti la sim gratuitamente e bloccare fino alla sostituzione eventuali mnp... poi certo bisogna capire cos’è successo e come sono arrivati a tali dati sensibili e tutto quello che ne consegue
[cancellato] So benissimo che hanno tanto traffico, ma parliamo di 2 gigabyte di dump che è uscito dal loro database. E poi non è quello di vodafone, è solo quello di ho mobile.
Vorrai mica dirmi che sono l'unico che ha gli alert appena il docker del db consuma più banda del previsto?
- Modificato
deva il nome utente quasi sempre è la mail (nome.cognome come dicevano poc'anzi), che è in quel db. Se vuoi avere un minimo di sicurezza in più, ti consiglio di sfruttare gli alias per avere mail diverse per ogni sito web
Heavy ma dove lo hanno pubblicato?
È in vendita su un forum, attualmente "non noto" quindi neanche verificabile. Ma mi dicono che Bank_Security in genere è attendibile
Filippo94 Ma non ha senso, al massimo chiedi cambio sim
In questo momento no, ma se confermato il danno d'immagine e fiducia è irreversibile
crack3us Comprensibile che ti scoccia ma cambiar operatore non modificherebbe le tue info personali, l'unico dato sensibile è l'ICCID che si cambia con un semplice cambio SIM.
Dalla parte del tutelarsi non c'è alcun vantaggio nel cambiare operatore vs cambiare SIM, ma comprensibile il voler andarsene per il danno sulla fiducia.
Se confermato faccio i miei più cari saluti ad ho e al suo falso low cost.
Sulla sicurezza non esagererei con le conseguenze, certo bisogna che l'utente bucato prenda delle contromisure ma non credo che una mattina si alzi e trovi il conto svuotato, dai. Di sicuro c'è del materiale per fare della buona ingegneria sociale
handymenny il nome utente quasi sempre è la mail
Non per le banche; almeno quelle serie te lo forniscono loro