UniCredit e furto di dati ?

Fedexba

Tre settimane fa, mentre mi trovavo al lavoro, iniziano ad arrivarmi le notifiche per autorizzare l’accesso all’home banking.

Chiaramente quei dati li ho solo io, mai dati a nessun altro ed ovviamente nemmeno mai inseriti su alcun sito web che non fosse quello ufficiale di UniCredit.
Non ho nemmeno le credenziali salvate sui dispositivi.
Al terzo tentativo, talmente veloce che nemmeno ero ancora riuscito a sbloccare il telefono, l’account era gia bloccato per superamento dei tre tentativi.

Chiamato il numero verde, mi liquidarono con “le resetto l’home banking, cambi password, sicuramente qualcuno ha sbagliato ad inserire il codice adesione ed ha bloccato il suo senza saperlo”.

Dopo una settimana, la stessa cosa è capitata, in orari diversi, sia ad un mio amico che ad una mia amica, con la stessa modalità.

E come ultimo episodio, identico, anche ieri pomeriggio ad un’altra mia amica.

Mi sembra decisamente troppo strano che ci siano cosi tante “persone che sbagliano codice adesione” (cit), piuttosto, direi che UniCredit ha dei problemi seri di sicurezza o furto di dati.

Di UniCredit poi mi frega poco perché è un conto che non uso più da un po’, non lo chiudo solo perché sul business ci sono penali, tuttavia la cosa mi ha infastidito molto, e penso che se sopra ci hai soldi od è il tuo conto principale, ti infastidisca ancora di più.

Ho cercato altre testimonianze simili sul web ma non ne ho trovate, mai possibile?

[cancellato]

Fedexba niziano ad arrivarmi le notifiche per autorizzare l’accesso all’home banking.

La notifica per autorizzare l'accesso arriva anche se le credenziali inserite non sono corrette? O è solo una notifica di tentato accesso e non un'autorizzazione? Perché nel secondo caso può essere qualcuno che tenta una qualche forma di bruteforcing, altrimenti pare un po' più pericoloso.

[cancellato] non è detto che ce lo comunicheranno

GDPR la pensa diversamente, se ci sono di mezzo dati sensibili. Ci sono 72 ore di tempo per comunicarlo al Garante

Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto
https://www.garanteprivacy.it/regolamentoue/databreach

mcpalls

Ciao, ho un conto Unicredit, ma questo problema ancora non si è presentato.

maxevy

Ho un parente e due amici con conto Unicredit...al momento nessuna notizia del genere.
Ciao

Fedexba

Si vabbè il codice errato, ma mi sembra una cosa troppo perfetta per essere casuale dai.
Su 8 persone che conosco e che hanno UniCredit, e sono abbastanza nerd e scaltri da non farsi fregare, sta cosa è successa a 4 persone.
Il 50%, mi sembra un po’ inusuale.

[cancellato]

so di voci che Unicredit stava rivedendo la gestione degli incident ICT (ho lavorato in un gruppo bancario cooperativo). Il piccolo cliente/risparmiatore deve affidarsi solo alle proprie mani per mettersi al sicuro, non può contare sulle mega società basate su impersonali call center per problemi del genere.

Se è avvenuto un furto di dati in seguito ad un incident ICT, non è detto che ce lo comunicheranno. Gli incidenti più gravi vengono segnalati in banca d'italia. Non ci sono obblighi per diffondere gli incident report pubblicamente alla clientela, soprattutto se riguardano una piccola porzione dei clienti.

Fedexba

[cancellato] immaginavo, una cosa che accomuna me e i miei amici impattati dalla cosa, è il codice adesione che inizia per 18.

Qui potrebbe anche essere casualità.

Fedexba

[cancellato] se le credenziali sono corrette, arriva la notifica di autorizzazione, nel mio caso tramite faceid.

Se le credenziali non sono corrette arriva la notifica del tentato accesso con credenziali errate.

Ciò detto, per far arrivare la notifica di credenziali errate, devi azzeccare il nome utente, cioè il codice adesione, ovviamente poi hanno sbagliato il pin.

Subito dopo chiamai in filiale e non mi sembrarono affatto stupiti.

giorgino

[cancellato] @[cancellato] non è detto che ce lo comunicheranno

GDPR la pensa diversamente, se ci sono di mezzo dati sensibili. Ci sono 72 ore di tempo per comunicarlo al Garante

Confermo che è obbligatorio per legge comunicare il furto di dati al Garante al più presto possibile. Un colosso come Unicredit non può permettersi di "dimenticarsene" altrimenti incorrerebbe in pesanti sanzioni. Quindi, se non risultano pervenute segnalazioni al Garante, si può ragionevolmente supporre che non ci siano state.

Comunque mi aggiungo al gruppo di coloro che per fortuna non hanno ricevuto lo scherzetto segnalato dall'OP.

[cancellato]

Fedexba Ciò detto, per far arrivare la notifica di credenziali errate, devi azzeccare il nome utente, cioè il codice adesione, ovviamente poi hanno sbagliato il pin.

Ok, ora è più chiaro. Così può anche essere qualcuno che tenta il bruteforcing con codici generati in qualche modo.

renzom

Chiamato il numero verde, mi liquidarono con “le resetto l’home banking, cambi password, sicuramente qualcuno ha sbagliato ad inserire il codice adesione ed ha bloccato il suo senza saperlo”.

non è così semplicistico: per accedere alle filiali online ci sono dei codici di autenticazione e il reset non viene fatto al primo che chiama - c'è tutta una procedura molto rigida

purtroppo Unicredit e Intesasanpaolo sono le due maggiori banche nazionali e loro sparano sul mucchio, tanto qualcuno il rapporto ce l'ha diversamente da banche più piccole, qualcuno ci casca

vai nella tua filiale fisica e chiudi il tuo contratto online e fattene dare uno con dei nuovi codici

Themau64

ho provato ora a connettermi da mobile e mi da "server non raggiungibile". Capita raramente, forse ci stanno lavorando (credo sia solo un caso, ma tant'è...)

edit, ripartito, ovviamente non c'entrava nulla....

edd

Tutto ok con il mio conto, appena provato.

DavideDaSerra

La spiegazione del call center è possibile (essendo numerico ed avendolo scritto a mano anche a me è capitato di male interpretare il numero e bloccare l'account a un altro).

Se invece c'è corrispondenza username/password (ti è arrivata la notifica sull'app per accedere) allora probabilmente sei caduto in una trappola e hai ceduto le credenziali.

Adesso spesso arrivano sms firmati "<Nome della banca>" che chiedono di ri-inserire i dati personali, due cose: i mittenti degli sms sono facilmente modificabili e la banca se ti chiede integrazioni lo fa DOPO che tu hai acceduto all'area clienti o in altra forma come una lettera cartacea o telefonata che ti invita ad andare in filiale.
Al massimo potrebbero inviare un sms in cui ti invitano ad accedere all'area clienti e aggiornare i dati richiesti ma SENZA fornire link.

Essendo il codice "numerico" potrebbe anche essere uno stupido attacco a forza bruta (inventano i codici, li provano e se l'account si blocca amen, poi passano all'n+1esimo). Se lo fanno "bene" per la banca è impossibile discernere quali richieste sono lecite e quali no e l'unica è richiamarli chiedendo lo sblocco dell'account per esaurimento dei tentativi.

giorgino

DavideDaSerra Essendo il codice "numerico" potrebbe anche essere uno stupido attacco a forza bruta (inventano i codici, li provano e se l'account si blocca amen, poi passano all'n+1esimo). Se lo fanno "bene" per la banca è impossibile discernere quali richieste sono lecite e quali no e l'unica è richiamarli chiedendo lo sblocco dell'account per esaurimento dei tentativi.

beh non proprio, perché in caso di blocco per tentativi errati, Unicredit ti chiama subito per telefono anche in orari notturni (successo a me la settimana scorsa, ed ero io ad avere sbagliato). Ho un normalissimo conto Genius, non chissà quale servizio particolare. Quindi se non gli hanno telefonato, è difficile che il motivo sia quello.
E comunque con tre o cinque tentativi disponibili (forse variano pure da caso a caso) l'attacco di forza bruta è improponibile, a meno che qualcuno non abbia scelto 11111111 come PIN (e non mi pare sia neppure possibile sceglierlo).

Fedexba

DavideDaSerra ma assolutamente no, non sono mica un boomer rincretinito, non sono caduto proprio in niente e non ho dato le mie credenziali proprio a nessuno, entro in home banking solo ed unicamente tramite faceid dalla app, il sito non lo apro da non so quanti anni.

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile