Data breach all'operatore LycaMobile. Ecco cosa potresti fare (illegalmente) con i dati sottratti.

Nessuno ne parla più. Tre articoli sul web, poi il silenzio assoluto. L'informazione cosiddetta mainstream, non ha toccato l'argomento. Ma ne parliamo alla fine dell'articolo. Ora, partiamo dall'inizio.

Il 5 Novembre scorso, nel pomeriggio, l’account Twitter di LulzSec_ITA diffonde la notizia di essere entrato in possesso di una grande quantità di dati dall’operatore di telefonia mobile LycaMobile. Poco dopo, una parte delle informazioni vengono rese pubbliche, diffuse tramite la piattaforma MEGA: si tratta di più di 2GB di file.

Di quali dati stiamo parlando?

Le informazioni trafugate sono moltissime. Ritengo che questo data breach sia tra i più gravi degli ultimi tempi per ciò che è stato pubblicato, in particolare:

  • documenti di identità (carte di identità, tessere sanitarie, passaporti)
  • tabelle riportarti nome, indirizzo email, numero di telefono di clienti LycaMobile
  • tabelle con i seriali delle SIM
  • informazioni con le credenziali di accesso di una parte dei rivenditori LycaMobile
  • email di comunicazioni tra rivenditori e utenti a LycaMobile
  • lista di alcune transazioni di pagamento con informazioni sul cliente e i dati della carta di credito (il numero della carta, per fortuna, non è in chiaro)

Trovate un ottimo articolo di Edoardo Limone che approfondisce in maniera dettagliata i contenuti di cui sopra. (vi lascio anche il link al canale Telegram di Edoardo, molto utile per rimanere aggiornati in ambito cybersecurity)

La posizione di LycaMobile

LycaMobile è uno degli operatori mobili virtuali più grandi al mondo, operante in moltissimi paesi, con base in UK. La filiale italiana, LycaMobile SRL (con sede a Roma, 2 dipendenti e €73,3Ml di fatturato annuo) , al momento in cui scrivo non ha ancora emesso alcuna comunicazione pubblica in merito all’accaduto.

Non sono a conoscenza del fatto che gli interessati abbiano ricevuto o meno comunicazioni in merito al furto di informazioni personali, attività obbligatoria per legge, come riportato anche sul sito di LycaMobile:

dalla pagina: https://www.lycamobile.it/it/help/lycamobile-privacy-policy/

Cosa si può fare (illegalmente) con i dati prelevati a LycaMobile?


Questo è  a mio avviso il punto cruciale, spesso sottovalutato dai “non addetti ai lavori”. Mi spiego meglio. Il fatto che queste informazioni siano di pubblico dominio, mette in condizione un malintenzionato di poter svolgere attività illegali, più semplicemente e più velocemente.

In pratica, espone chi ha subito il furto ad un grave pericolo: questo è il motivo principale per cui, da un lato dobbiamo preoccuparci di sapere sempre come vengono trattati i nostri dati (documenti, email, etc), dall’altro le aziende che hanno in possesso informazioni personali devono mettere in atto azioni di sicurezza informatica preventiva (ma non solo!) che evitino (o, realisticamente, limitino al massimo) eventi di questo tipo.

Poniamoci una domanda: quante sono le aziende che hanno una copia del nostro documento di identità?

  • Il negozio sotto casa dove abbiamo comprato la TV con un finanziamento?
  • La società che fa l’assistenza alla nostra caldaia a casa?
  • I fornitori di telefonia, luce, gas e acqua?
  • La nostra compagnia assicurativa?
  • L’agenzia viaggi dove abbiamo prenotato la vacanza?
  • L’hotel dove abbiamo pernottato?
  • L’azienda che abbiamo visitato e chi ha chiesto il documento per registrarci?
  • La palestra alla quale ci siamo iscritti?

Sono tantissimi i casi in cui forniamo nostri documenti ed informazioni personali.

Dal punto di vista delle aziende, l’imprenditore deve essere consapevole che i dati che ha acquisito vanno protetti con cura, rispettando le normative (GDPR) e quindi anche la privacy di chi gli ha affidato queste preziose informazioni.

Già, ma cosa potrebbe succedere ora?

Facciamo qualche esempio: come può un criminale usare queste informazioni?

L’attività più semplice rientra nell’ambito del social engineering, ovvero sfruttare servizi online per raggiungere un obiettivo specifico. Con i documenti a disposizione, il furto di identità rientra tra le casistiche più comuni.

Creare un account Facebook fake.

Avendo a disposizione la carta di identità di Mario Rossi, posso creare un account gemello e/o bloccare quello reale. Come? In pochi passi:

  • creo un indirizzo email nuovo
  • mi registro su  Facebook, come nuovo utente, con il nome e la data di nascita di Mario Rossi
  • copio le foto dal profilo vero di Mario Rossi e le imposto sul profilo fake
  • aggiungo qualche stato, commenti e qualche foto nuova
  • vado sul profilo vero di Mario  Rossi e lo segnalo a Facebook

La procedura prevede - anche nel caso in cui io non abbia un profilo Facebook ma voglia bloccarne uno dicendo che è falso - di caricare un documento per validare la nostra identità:

Modulo di segnalazione identità di Facebook

Ora, senza voler troppo semplificare la questione - anche perché, è bene dirlo, Facebook & C. effettuano controlli incrociati anche tramite email e numero di cellulare - è comunque possibile bloccare temporaneamente un profilo e creare un disservizio.

Aprire un conto bancario online

Anche in questo caso, avendo a disposizione un documento di identità, è possibile aprire un conto a nome di un'altra persona. Se leggiamo ad esempio la modalità di verifica della banca online N26:

Dal sito di N26

Vediamo che è sufficiente una nostra foto (facilmente falsificabile) e... un documento di identità.

Possono quindi essere molti gli utilizzi illeciti. Questo, tra l'altro, conferma che l'ipotesi nata negli ultimi giorni di "rendere necessario un documento di identità per aprire un account social" come soluzione ai profili fake, non ha senso.

Tweet dell'on. Luigi Marattin

Aggiungiamo anche che spesso, data breach di questo tipo, riversano i dati nel dark web, così da monetizzare il più velocemente possibile quanto acquisito. Ricordiamoci che, alla fine, il cybercrime è prima di tutto un business, e come tale, il ROI è un parametro fondamentale...

Ma perché nessuno ne parla?

Ed eccoci giunti al nocciolo della questione: ci troviamo di fronte ad un data breach che ha interessato un numero imprecisato di persone, ed abbiamo visto una parte dei potenziali rischi a cui le vittime sono esposte.

Ma perché le testate online (e non) non riportano questa notizia? Sul web, solo La Stampa ha pubblicato un articolo, seguita poi il giorno dopo da Wired e Startmag.

Poi, il nulla.

Il problema relativo alla consapevolezza credo si superi solo facendo formazione e informazione, verso gli "utenti" ma anche verso gli imprenditori, che devono sorvegliare.

La cybersecurity è prima di tutto una battaglia culturale: viviamo in un mondo sempre più digitale ed interconnesso e non possiamo permetterci di non sapere quali siano i comportamenti corretti da mantenere. Tutti, indistintamente, indipendentemente dal lavoro che svolgiamo.

Io, nel frattempo, continuo la mia piccola e personale "battaglia" parlandone con i "non addetti ai lavori": spero che qualcuno mi segua :-)


Mostra commenti