Forse non tutti sanno che Vodafone ha un operatore di proprietà che si chiama HO. Mobile, che ha subito un attacco hacker alla fine dello scorso anno. E ovviamente io ero cliente (lo sono ancora per la verità, mio malgrado).
Come conseguenza del Data Breach, sono stati sottratti dati personali e sensibili dei clienti, tra cui il fantomatico ICCID, che corrisponde al seriale della SIM. Fra le numerose conseguenze negative di un furto di dati, c’è il rischio potenziale che un hacker possa prendere il controllo da remoto di una SIM di cui conosce l’ICCID, e in particolare intercettare i messaggi con i codici di autenticazione a doppio fattore per i diversi account, soprattutto per quelli finanziari.
Oltre al danno, pure la beffa… un pò scocciato della cosa, come molti utenti di HO, ho (ahahah) deciso di cambiare operatore. Quindi vado online sul sito del nuovo operatore scelto, mi registro, pago e attendo fiducioso la mia nuova sim. Sim che è prontamente arrivata e ho attivato. Non mi resta(va) che attendere la portabilità. Purtroppo però, HO ha deciso in maniera unilaterale che poteva risolvere il problema cambiando virtualmente il seriale della SIM. Generoso e utile, per chi non si era interessato del fattaccio, e non aveva preso provvedimenti. Un po’ meno per chi nel frattempo aveva richiesto la portabilità del numero che è stata di conseguenza bloccata. Ho dovuto dare avvio nuovamente alla procedura di migrazione e dopo 18gg di attesa e a 4 giorni dalla prima data di fatturazione del nuovo operatore, per una SIM ad oggi inutilizzata, ancora nulla. Alla faccia della delibera dell’Agcom che prevede 3 gg per la portabilità.
Al di là della mia sfortunata MNP (Mobile Number Portability), la soluzione è stata quindi una rigenerazione lato infrastruttura dei seriali, ma il problema è decisamente più complesso. I dati di molti utenti, raccolti in un bel database, sono ora in vendita nel deep (o dark) web e questo potrebbe avere risvolti futuri, più o meno prevedibili.
La cosa più grave di tutte però, a mio avviso, è che pare il Data Breach sia stato ufficialmente confermato solo dopo la comparsa sul mercato di questo database. A pensar male si fa peccato ma spesso ci si indovina, e il dubbio che Ho. Mobile abbia ammesso il problema solo perché ormai palese e sotto gli occhi anche dei “non addetti ai lavori”, è piuttosto lecito.
In questo articolo qualche consiglio pratico per chi come me si trova in questa situazione. Lato azienda forse, oltre a un potenziamento degli strumenti, delle procedure e dell’approccio alla cybersecurity, sarebbe opportuno quindi un investimento in termini di comunicazione. Ma sarebbe necessaria la volontà e la coscienza di voler informare prontamente gli utenti ed avere un approccio proattivo, gestendo in maniera opportuna una eventuale crisi.
