Presunto leak del database clienti di ho. mobile [confermato]

matteocontrini · 2020-12-28T21:52:19+00:00

Traduco: Un attore malevolo sta vendendo un database dell'operatore ho. mobile di Vodafone. I dati comprendono informazioni personali di 2,5 milioni di cli...

rami

Buon anno a tutti

Rivedendo i principali account a rischio, ho notato che

su Amazon c'è sempre la possibilità di modificare la password tramite OTP via SMS, via Password dimenticata, quindi è altamente vulnerabile a Sim Swap
su Paypal si può disattivare la verifica in due passaggi via SMS per lasciare attiva solamente quella tramite Authenticator
stessa cosa su Google: si può disattivare il recupero tramite OTP SMS/chiamata e tenere solo Authenticator, dispositivo e/o chiavi monouso di riserva

stemax97

rami su Amazon c'è sempre la possibilità di modificare la password tramite OTP via SMS, via Password dimenticata, quindi è altamente vulnerabile a Sim Swap

In realtà si può eliminare anche in questo caso il problema (lo avevo scritto qualche decina di post sopra, perso nelle centinaia di messaggi 😂).

Devi procedere in questa maniera: nella sezione "il tuo account", clicchi su "accesso e impostazioni di sicurezza", poi "Impostazioni della verifica in due passaggi (2SV)". Da lì devi disattivare completamente la 2FA. Una volta fatto ciò, nella schermata di prima, devi cliccare su "modifica" nella sezione "numero di cellulare". Ora comparirà l'opzione "cancella numero". Una volta fatto questo, puoi riattivare la 2FA e usare solo Google Authenticator.

Filippo94

rami Amazon c'è sempre la possibilità di modificare la password tramite OTP via SMS

In realtà con Amazon ci fanno poco: le carte non le possono vedere e se provano ad acquistare mandando in un altro indirizzo richiedono il numero della carta

Mammut

mirko991
Concordo, ho migrato verso iliad senza pensarci 2 volte, risparmiare non sempre è cosa buona è giusta.
Colgo l’occasione per augurarvi un buon inizio 2021 😀

pecuez78

Mammut
Concordo pure io. Appena migrato verso iliad senza ripensamenti.

nicos18

OT stemax97 Scusa, ma dove esce "cancella numero"? Perché io se metto come metodo primario l'app, automaticamente mi mette come numero di backup il numero di telefono, e non c'è modo per cancellarlo.

Grazie /OT

goleador

My two cents: la cosa dal punto di vista comunicativo è stata gestita malissimo, ma loro stessi hanno ammesso di aver "avviato in collaborazione con le autorità investigative le indagini per ulteriori approfondimenti" quindi almeno qualcosa hanno fatto. Io aspetterei qualche giorno prima di fare la mnp per capire se è davvero necessaria oppure no. Non sappiamo nulla riguardo il tipo di falla, il numero di utenti coinvolti e le misure di protezione che hanno messo in atto.

mirko991

goleador Ma hanno ammesso dove? In un commento sotto ad un loro post? Questa è serietà? Suvvia...

goleador

mirko991 ribadisco comunicazione pessima, ma se il problema lo risolvono non vedo il motivo di cambiare operatore, contando che gli altri non è che brillino in quanto a serietà. Sono mie opinioni chiaramente.

EnriRai

C è rischio anche per utenti Vodafone ? 🔴

stemax97

EnriRai

No.

EnriRai

stemax97 grazie

Skyw625

Scusatemi, ci sono novità sulla situazione? Si sa quando potranno essercene?
Dal generico "indaghiamo con le autorità" non so di altre comunicazioni ufficiali di ho..
Grazie a tutti 😁

crack3us

Faccio una piccola considerazione giusto per ribadire che ci sono le leggi e le regole ma come al solito sono fatte per essere aggirate: una società ha l’obbligo di comunicare entro 72 ore l’avvenuto data breach e fin qui ci siamo... peccato che non c’è un “meccanismo” esterno alla società che faccia partire questo timer... del tipo stanno circolando delle notizie in rete? Voglio una relazione che è tutta fuffa. Se viene lasciata la facoltà alla società interessata di iniziare il conteggio, che interesse hanno nel farlo? Poi magari ho capito male io come funziona, ma così come l’ho capito io non serve a nulla ed è l’ennesima presa per i fondelli

Cosmopolithanks

crack3us la curva dell'indignazione è già in fase di discesa e siamo prossimi all'ingresso nella fase del cinismo fatalista, infine piomberà l'oblio su tutto quanto e saremo pronti per ricominciare daccapo

#buonano

framanzari95

Io vorrei capire una cosa: io avevo impostato come mezzo di ricarica "PayPal" con il quale eseguivo la ricarica velocemente. In questo database ci sono anche dati come l'indirizzo mail associato a PayPal?

mirko991

framanzari95 No, fortunatamente i metodi di pagamenti sono al sicuro.

callfan

framanzari95 Se usi lo stesso indirizzo email sia su PayPal sia nella registrazione al sito ho., allora sì, l'email è in chiaro. Ma basta impostare su PayPal un'autenticazione a due fattori che non utilizzi il tuo numero di cellulare e sei a posto.

framanzari95

callfan no su PayPal usavo un'altra mail, dedicata ai servizi di pagamento e cose simili. Comunque grazie ad entrambi

Cosmopolithanks

Mettete l'autenticazione biometrica dove potete e usate Google autenticator per tutto il resto e non c'è SIM swap che tenga

framanzari95

Cosmopolithanks fatto anche questo e ho eliminato il numero di telefono dove potevo sostituendolo con un'app di autenticazione. Alla fine dopo tutto questo trambusto è più probabile che i dati vengano usati per spam, phishing et similia (non so bene i termini tecnici). Io oramai ho cambiato numero perché su quello vecchio ricevevo tante telefonate truffa (numeri della Turchia che sbucavano come funghi) ed sms di phishing che arrivavano dal mittente dell'home banking e quindi impossibili da bloccare. Non oso immaginare cosa riceverei su quella sim se il leak fosse vero 😅😂

lore20

Cosmopolithanks Scusami, ma non ho capito troppo bene su quali servizi l'autenticazione biometrica offra davvero migliore protezione.
Io su smartphone Android l'ho vista quasi sempre come una "comodità" per evitare di reinserire codici, che possono comunque essere recuperati via SMS.

Quasi tutti i servizi che ho installato (2 home banking "veri", una neobank, uno spid) hanno l'autenticazione biometrica attiva come comodità (impronta salvata nello store segreto del telefono per decrittare un token di sessione e non doversi riautenticare). In tutti i casi posso trasferire il mio account su un nuovo telefono (con o senza autenticazione biometrica) e le uniche verifiche sono otp sms e/o mail. Solo Revolut credo abbia un codice aggiuntivo di quattro cifre, per il quale non so se esistano procedure di recupero.lp

uadopo

framanzari95 Idem anche io. Da quando sono passato ad Ho. ho una quantità di spam industriale!

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile