Salve è successa una cosa molto strana ad un mio parente che ha attivato una SIM presso un gestore (che non nomino).
La persona in questione è anziana, non esperta, quindi non si è nemmeno posta il problema.
Mi ha mostrato la confezione all'interno della quale si trovava la SIM. La confezione è sigillata, tagliando l'adesivo si apre a libro e dentro è presente la tessera di plastica con all'interno la SIM.
La cosa - secondo me grave - che ho notato è che all'esterno della confezione, quindi visibile a tutti, è attaccato un adesivo dove è stampato il codice ICCID della SIM e soprattutto il PUK!
Ho verificato e il PUK è effettivamente quello indicato all'interno.
E' un comportamento "normale" ? La cosa "divertente" è che proprio sotto all'adesivo, più in basso (quindi sempre all'esterno della confezione) è scritto che all'interno si troverà il codice PUK che dovrà essere conservato con cura e in segretezza (qualcosa del genere). 
Ma è una prassi "normale" ?
Confezione con ICCID e PUK esposti
Normale, credo che per attivare la sim i rivenditori scannerizzino proprio il codice a barre su quell'adesivo, in cui è codificato l'iccid
adkilo La confezione è sigillata, tagliando l'adesivo si apre a libro e dentro è presente la tessera di plastica con all'interno la SIM.
Da come la descrivi, immagino sia una scheda WindTre. È un po' che non ne ho una sottomano perché, nelle ultime attivazioni che ho effettuato, i rivenditori si sono sempre trattenuti - buttando nel cestino - la confezione esterna...mi hanno dato sempre e solo il supporto plastico.
Immagino non sia un problema perché si vede se il sigillo è stato manomesso. E poi, comunque, loro stessi dovrebbero poter vedere il PUK dai loro sistemi, quindi non viene mostrato niente di "segreto".
Diciamo così: se è stampato un motivo ci sarà, anche se noi non lo conosciamo. Tanto quel cartoncino teoricamente dovrebbe passare dalle mani del rivenditore a quelle del cliente, quindi non dovrebbe venire divulgato a terzi.
[cancellato]
adkilo La cosa - secondo me grave - che ho notato è che all'esterno della confezione, quindi visibile a tutti, è attaccato un adesivo dove è stampato il codice ICCID della SIM e soprattutto il PUK!
Mah, l'unica cosa un po' questionabile è il PUK, ma parti dal concetto che fintantoché non è attivata e associata ad un'anagrafica, la SIM è poco più che un pezzo di plastica, anche se venisse rubata o gli venisse copiato l'ICCID, non sarebbe utile a nessuno.
Nei documenti di attivazione che ti fanno firmare è riportato l'ICCID.
Poi, del PUK senza la SIM fisica te ne fai gran poco, quindi anche se è visibile... pazienza, nel momento in cui diviene utile hai fisicamente l'altro fattore di autenticazione (la SIM fisica) in mano, quindi...
Non è "bello" che siano esposti, ma d'altro canto non sono dati "parlanti" sulla persona come potrebbe essere un codice fiscale, sono numeri "casuali". Hai molti più dati facendoti la foto delle modulistiche di attivazione per dire.
[cancellato] Beh non capisco però perché esporre il PUK. Ci sono una serie di situazioni - ovviamente al limite del possibile, quindi improbabili - dove quell'informazione potrebbe essere usata da qualcuno per modificare il PIN della SIM, una volta avuto accesso al telefono.
Cioè non capisco perché ampliare la "superficie" di attacco verso un soggetto, quando dall'altra parte non vedo alcuna utilità nell'esporre quel dato.
[cancellato]
adkilo Sì ma devi sapere che quella SIM è esattamente quella del telefono che hai "rubato" mesi dopo... ma comunque a che ti serve? Nel momento in cui il telefono è acceso la SIM è sbloccata, e ormai tutti i telefoni obbligano ad avere almeno un codice di sblocco, se non ce l'hanno è colpa dell'utente. Infine, è molto più utile per chi vuole fregarsi il telefono il valore dell'oggetto in sé che della SIM che tanto ci metti due ore a farti cambiare dall'operatore per furto...
adkilo non vedo alcuna utilità nell'esporre quel dato.
Costa di meno non dover verniciare il "grattino" per nasconderlo... tanto come detto, è un'informazione rilevante solo nei pochi minuti in cui l'addetto ti attiva e consegna la SIM, prima è inutile e dopo non hai l'oggetto fisico in mano.
- Modificato
[cancellato] Attenzione, non sto parlando del PUK sulla tessera, questa è INTERNA alla confezione, che viene consegnata sigillata. Parlo di un PUK posto all'esterno della confezione, che chiunque in negozio può vedere (non ha bisogno di accedere ad un terminale). Inoltre chi se la porta a casa, probabilmente butterà la confezione esterna (conservando la tessera interna), senza fare caso a questa cosa... ci sono tutta una serie di situazioni in cui uno potrebbe collegare quella confezione a te, questo dal tragitto negozio-casa e dopo.
Il punto non è secondo me quanto sia concreto o meno il rischio, ma perché esporre ad un rischio inutile il cliente.
[cancellato]
adkilo hiunque in negozio può vedere (non ha bisogno di accedere ad un terminale).
Sì ma vale solo se hai in mano anche la SIM correttamente attivata, altrimenti è un numero a 8 cifre a caso come 11223344. Che potrebbe anche essere il mio PUK di una delle SIM, ma se non sai chi sono (mica in una casa ci abita una persona sola, e molte volte l'imballo della scheda viene gettato davanti al negozio, senza altri identificativi personali) e non hai un mio telefono in mano ti è inutile. Il PUK ha la sola valenza per l'accesso alle funzioni di ripristino del PIN della scheda fisica, e viene elaborato dentro il chip... non serve esattamente a nient'altro. Nulla. Zero.
L'ICCID senza il numero di telefono non ti serve a niente neanche per fare uno sim swap, servono entrambi.
Se l'hanno esposto evidentemente serve al negoziante come verifica di congruità dei dati a sistema, per evitare di darti una SIM della quale non puoi chiedere il codice al provider se lo dimentichi o perdi il talloncino 8x5 che la conteneva. Non dovrebbe infatti a rigor di logica aver bisogno di aprire la confezione per attivarti la SIM.
- Modificato
[cancellato] Se serve al negoziante allora c'è un problema nella procedura direi. Ma c'è scritto pure sulla confezione che il PUK è un codice segreto da conservare con cura! Me lo scrivi e poi sopra me lo metti in bella mostra?
Ci sono un'infinità di situazioni al limite dove qualcuno potrebbe venire a conoscenza di quel PUK conoscendoti... un caso stupido ... una persona che conosci entra dopo di te; ti vede prendere la confezione, scartarla e buttarla (terrai solo la tessera interna).
E' come se uno ti consegnasse una busta con la tua carta di credito (non attiva), con il PIN stampato sopra...
[cancellato]
adkilo Se serve al negoziante allora c'è un problema nella procedura direi.
E perché? Se hanno il dato in anagrafica SIM lo devono verificare, altrimenti può essere errato ed è peggio che non averlo, perché ci fanno la figura da incompetenti.
L'alternativa è non far recuperare il PUK se lo dimentichi e costringere il cliente a una sostituzione SIM a pagamento... meglio così?
Dicono di conservarlo con cura perché ti può servire appunto se sbagli a sbloccare la scheda, ma non è che sia un dato sensibile dell'utente. Tra l'altro forse una volta si poteva anche cambiare, non mi ricordo se sia ancora possibile.
adkilo E' come se uno ti consegnasse una busta con la tua carta di credito, con il PIN stampato sopra...
No, non è la stessa cosa, perché la carta di credito muove soldi (della banca, tra l'altro... il bancomat/carta di debito spesso se vai negli sportelli fisici ti danno le due buste - carta e PIN - insieme), il PUK non serve a niente salvo che sbagli il PIN per 3 volte. Basta.
E allora tutti quei servizi che ti mandano in chiaro via email il "codice di emergenza" per recuperare una password dimenticata?
Dai ragazzi, stiamo nel mondo reale e non in Matrix. La sicurezza è sempre un compromesso tra costi e rischio, e in questo caso il rischio è solo ed esclusivamente nella fantascienza.
- Modificato
@adkilo purtroppo quello che dici e giustissimo, che i dati "Tecnici" sono esposti a tutti, ma giustamente come dice @[cancellato] fino a quando quel dato "Tecnico" della SIM non viene associato a una persona, rimane solo ed esclusivamente un numero come un altro che identifica solo il pezzo di plastica.
Quello che Purtroppo è capitato nei giorni passati con ho.mobile, ci deve far riflettere che l'applicazione
del GDPR o si applica o non si applica, ergo; se si applica lo devono rispettare anche gli operatori telefonici e non solo... banche... ospedali... motorizzazione... e tutte quelle situazione che attualmente ti chiedono i tuoi dati fiscali.
- spiego: i mie dati, come i dati sensibili personali di ogni persona, non li deve conoscere nemmeno il provider (in questo esempio) a cui mi abbono al suo servizio, nelle sue mani deve stare solo ed esclusivamente
il codice "CIF" (fai riferimento al link sotto...)
https://ec.europa.eu/taxation_customs/tin/pdf/it/TIN_-_subject_sheet_-_3_examples_it.pdf
che identifica l'utente abbinato al numero telefonico, e/o abbonamento ...VattelAppesca...
che tale dati identificativi dal codice CIF devo stare (come stanno) conservati solo ed esclusivamente nelle banche dati delle anagrafiche del Comune/Provincia/Regione/Stato... e no che li hanno Cani e Porci...
- Previa infrazione di ...qualcosasiaeventualeaccaduto...
da parte dell'utente verso il provider, l'identificazione del codice "CIF" deve essere delle "autorità preposte", dove il Provider (in questo esempio) si rivolgerà per la risoluzione del suo problema, verso quell'utente.
Ma questo in Italia e non solo..., ancora non lo capiscono 
Se è Privacy deve essere Privacy per tutti.
- Modificato
[cancellato] altrimenti è un numero a 8 cifre a caso come 11223344
ehi, ma e` (quasi) la combinazione della mia valigetta (cit) 
adkilo all'esterno della confezione ... un adesivo ... codice ICCID della SIM e soprattutto il PUK
sicuro che fosse il PUK e non il NMU (che nella mia sono entrambi esposti e con codice a barre sotto)?
[cancellato]
ErBlask Il GDPR regola il trattamento dei dati, non la loro presenza o meno.
E dato che gli operatori TLC hanno l'obbligo per legge di identificare l'utenza e conservare gli audit trail delle comunicazioni elettroniche, i tuoi dati personali li devono avere.
Ma [cancellato] gli operatori TLC avendo gia il mio codice CIF hanno gia tutti i miei dati, (solo a loro non visibili) forse mi sono spiegato male al messaggio di prima...
- Modificato
[cancellato] Ma una volta non vendevano pure le SIM anonime?
In UK e USA mica lo fanno ancora?
edit: non che ci voglia un genio... https://www.ebay.it/b/Sim-anonime/29778/bn_7005254679
- Modificato
edofullo Mi sa Things Mobile... ma non lo so se ci sono ancora in tutto anonimato
Aggiornamento: mi sa che hanno cambiato anche loro...
https://www.thingsmobile.com/it/business
adkilo se una sim non e' attiva (quindi nn e' associata ad un numero telefonico) tali dati veramente non sono sensibili e non servono a nulla..sarebbe grave se fosse visibile sia il nr iccid che il nr telefonico
[cancellato]
ErBlask Il codice fiscale non è sufficiente ad identificare univocamente una persona, dato che non esiste al momento ancora una anagrafica nazionale dei cittadini.
edofullo No in Italia sono vietate, anche in tutte Europa se non sbaglio... Solo negli USA sono in vendita i "telefoni prepagati" tanto amati dai film, ma credo che le cose stiano un po' cambiando anche da loro.
AgostinoLangellotti Il numero telefonico non è mai contenuto nella SIM, è solo un "alias" di comodo per l'operatore all'ICCID della scheda associata.