Presunto leak del database clienti di ho. mobile [confermato]

matteocontrini · 2020-12-28T21:52:19+00:00

Traduco: Un attore malevolo sta vendendo un database dell'operatore ho. mobile di Vodafone. I dati comprendono informazioni personali di 2,5 milioni di cli...

handymenny

[cancellato] Che non sarebbe di per sé un problema se i dati che ti fa vedere fossero solo i tuoi...

Però precisiamo che fino a prova contraria è così (non mi va di essere denunciato😂) .
Visto come si sono messe le cose meglio non provarci nemmeno (a provarlo), ero solo curioso di capire cosa esponessero le api dell'area clienti

Emmeci

[cancellato] il GDPR non dice a grandi linee che devi mettere in campo il possibile per preservare i dati personali degli utenti dall'essere in mano a persone non autorizzate, dunque di conseguenza a proteggerne l'accesso e il furto e qualora succedesse che non siano accessibili?

In quel caso non dice chiaramente "devi criptare i dati" ma nel momento che questi dati sono cosi sensibili, che non siano leggibili a terzi e dunque che siano criptati. Il compito del DPO è anche quello di fare audit per garantire che i sistemi non siano soggetti a cyberattacchi di furti di dati e di accessi non autorizzati.

[cancellato]

Emmeci il GDPR non dice a grandi linee che devi mettere in campo il possibile per preservare i dati personali degli utenti dall'essere in mano a persone non autorizzate, dunque di conseguenza a proteggerne l'accesso e il furto e qualora succedesse che non siano accessibili?

Sì, tra le altre cose. Ma questa frase non significa che devi cifrare tutto, quanto che devi predisporre giustificate procedure per restringere l'accesso ai dati a chi/cosa ne ha effettivo bisogno.
Che il sysadmin possa leggere i dati non è vietato dal GDPR.

DrGix #ho.avuto.mobile

Questo è bellissimo! 🤣

edd Sì stanno introducendo un po' tutti delle procedure per togliere la facoltà di "arbitrio" al gestore del punto vendita e tutelarsi anche a loro volta per i danni causati da questi swap criminali. Ma non so se siano già a regime e/o obbligatorie.
Parlo di sostituzione SIM per deterioramento o malfunzionamento eh, non di cambio intestatario. Per quest'ultima operazione fai prima a fare port-out su SIM attivata al nuovo intestatario, tanto viene controllato solo l'ICCID.

MobileAddicted

Ma ragazzi sono preoccupato, dite che hanno accesso anche alle info della carta di credito utilizzata al primo pagamento per la consegna della sim per posta?

handymenny

MobileAddicted se hanno avuto accesso solo alle api dell'area clienti, quelle espongono "solo" le ultime 4 cifre e la data di scadenza della carta usata per l'autoricarica. Ma è un'api diversa e nell'esempio su pastebin non si fa riferimento a quei dati

giamma1295

Se questo data breach fosse confermato dall'azienda, dai sample che girano sembra al 99.999% veritiero quindi credo che a breve avremo comunicati stampa, i clienti possono rivolgersi a qualcuno, tipo altroconsumo o relativi, per fare qualche azione legale nei loro confronti?

Comunque per chi è preoccupato riguardo a dati di carte di credito, o comunque metodi di pagamento, credo possa stare tranquillo per tre motivi:

nei sample non sono presenti quei dati.
un'azienda seria non salverebbe mai pan e ccv in chiaro, o comunque per esteso di un metodo di pagamento.
Mi sembra che usino Nexi come payment brocker; nexi una volta chiusa la loro pagina, sia dopo aver registrato il metodo di pagamento per pagamenti ricorrenti, sia dopo aver concluso una transazione one shot, chiamano un'url, specificato dal chiamante passando solamente dati parziali, esempio pan del tipo 1234xxxxxxxx5678, niente ccv e nient'altro, quindi non potrebbero neanche volendo salvarli per esteso!

Veehxia

giamma1295 Su una cosa di questa magnitudo, probabilmente ogni azione legale sarà avviata dai vari enti in primis.
E sicuramente troverai miriadi di annunci "Anche tu vittima di ho? Unisciti alla nostra class action" come quando girava quella per 70€ di rimborso per qualcosa con Facebook, non ricordo di preciso i dettagli.

mcpalls

[cancellato]
Ho scritto che sono obbligati? Spero per loro che abbiano svolto gli esercizi facoltativi come si fa a scuola per le conseguenze per la loro immagine sicuramente non è una multa che li farebbe fallire.

Emmeci

Veehxia E sicuramente troverai miriadi di annunci "Anche tu vittima di ho? Unisciti alla nostra class action" come quando girava quella per 70€ di rimborso per qualcosa con Facebook, non ricordo di preciso i dettagli.

E' l'ora di farsi una carriera da avvocato alla Saul Goodman

mcpalls E che ci fanno?
Mi mandano pubblicitá a casa? La cestino come il resto.

Con il codice fiscale e la data di nascita assieme all'indirizzo di casa possono farci ogni tipo di truffa legata al furto di identità come sottoscrivere carte di credito, intestare auto e aprire fidi bancari a nome tuo (senza che tu ovviamente possa goderne), poi sei te che devi arrangiarti con avvocati e denunce alla polpost per dichiarare che non sei stato tu a fare tutto ciò. su fibra click al massimo la gente mette un indirizzo generico di un paese

Identity theft is not a joke, JIm (cit.)

Volt

Se il leak viene confermato il problema ICCID lo risolviamo con un cambio sim, ma il resto?
Numero di telefono, email, codice fiscale e indirizzo di residenza.
Per gli scammer sarebbe ORO.
Ritengo che per avere un minimo di serenità molti dovranno cambiare numero.

mcpalls

E che ci fanno?
Mi mandano pubblicitá a casa? La cestino come il resto.
Qui, sul forum quanti postano l'indirizzo di casa spesso con il civico per sapere le coperture il numero del cabinet ?
Per il numero di telefono giusto ieri ho ricevuto tre chiamate con prefisso +53 ( Cuba) sicuramente non mi cercavano per regalarmi del buon rum.

Per me l'unico problema potrebbe essere la password e l'indirizzo email per ovvie ragioni

rieges

mcpalls Si, ma stiamo parlando di una mole di dati letteralmente di ordini di grandezza più grande di quelli su fibra.click.

Poi la conoscenza del solo indirizzo di casa (sempre che sia corretto) non è la fine del mondo, ma quando li colleghi a tutti i dati digitali (cellulare, mail, generalità, codice fiscale, ecc.) diventa un problema enorme.

Volt

mcpalls E che ci fanno?

Nulla, nulla.
Puoi rispondere a questo messaggio indicando:
Il tuo numero di telefono, indirizzo di residenza, codice fiscale ed email.

DrGix

Cominciamo il totomeme di domani?
Io punto sugli hashtag:
#ho.avuto.mobile
#avevo.mobile
#ebbi.mobile
#hostatobucato

Vorpal97

DrGix #hopersoituoidati

mb334

DrGix ho.cazzo

mcpalls

Volt
È in vendita il db di ho.mobile li puoi trovare lì.

"sottoscrivere carte di credito, intestare auto e aprire fidi bancari a nome tuo"
Addirittura?
Se vuoi ti mando i dati del mio vicino che mi sta sulle balle mi faresti avere una carta di credito intestata a lui e intestarmi la sua X5?
Per fido bancario cosa intendi?
Un fido bancario, qualsiasi forma di fido bancario perchè il fido bancario non è solo lo scoperto sul conto, per essere concesso richiede un iter e vari step tra i quali l'istruttoria, la delibera etc e sicuramente non sono solo 1 2 3 4 5..n+1 informazioni leakate necessarie per tale concessione.
Vedete troppi film Americani.
Sicuramente, non bisogna prenderla alla leggera ma c'è altro di cui preoccuparsi.

MobileAddicted

Nuova sezione sul sito di ho.

Chiaramente scherzo

MarcoYahoo

MobileAddicted 😂😂😂😂😂

Volt

MobileAddicted Hai vinto. 😂

LucaTheHacker

MobileAddicted

Mi dissocio totalmente.

In case of an investigation by any federal entity or similar, I do not have any involvement with this group or with the people in it, I do not know how or why I am here, probably added by a third party, I do not support or condone any actions by the members of this group. Any messages should be assumed to be jokes only.

Edit:

MarcoYahoo

Vorpal97

Vorpal97 gennaio 2017, quasi 4 anni

Ho - come marchio low cost di Vodafogne - è stato introdotto subito dopo la data di lancio ufficiale di Iliad nel mercato italiano, avvenuta a fine maggio 2018; la data del 2017 si riferisce esclusivamente alla nascita di VEI ma non di Ho.
Tra l'altro questi infamoni di VF/VEI si sono fregati il dominio free.it con largo anticipo, per impedire ad Iliad di usare lo stesso brand di oltralpe. 🤬

DrGix

Invertirei 2 lettere
#hopresoituoidati

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile