Oggi è uscita questa notizia:
https://www.hdblog.it/mobile/articoli/n531618/ho-mobile-sicurezza-dati-utenti/è ancora da confermare ma al momento sembrerebbe attendibile.
Non c'entra con le cripto però la collego a quella recente sul data breach di Ledger e mi domando: quando succedono queste cose l'azienda può ricevere una sanzione dal garante privacy (o chi per esso) ma all'utente finale non pensa nessuno?
L'utente non riceve nessun rimborso per i danni eventualmente subiti, danni che però ci sono sempre.
Pensiamo a chi usa Ledger: quante volte nei giorni abbiamo letto di gente preoccupata che chiedeva cosa fare? chi cambierà dispositivo, chi creerà un nuovo wallet spostando i fondi e pagando quindi fee, chi cambierà mail o numero di telefono. Sono tutte cose che portano via tempo e quindi hanno un costo. E nessuno riceverà rimborsi.
Con Ho.Mobile il pericolo è simile: se è vero quel che si legge si potrà essere oggetto di attacchi del tipo sim swap, e sebbene un 2FA che faccia uso di sms sia un metodo da tempo ritenuto insicuro, sappiamo tutti che ci sono ancora banche (e altre aziende) che lo usano ancora. Io stesso utilizzo servizi di due banche che usano ancora 2fa tramite sms. Per una di queste è tra l'altro ad oggi l'unico modo previsto!
Quindi data breach di questo tipo non sono affatto da sottovalutare.
Non solo: leggo che avrebbero rubato anche l'ICCID. Con quello basta andare in un qualsiasi punto vendita e "rubare" il numero di un altro utente. Con schede prepagate (cioè non ad abbonamento) la "titolarità" del numero non è associata al nome/cognome/CF ma alla sola conoscenza dell'ICCID per cui basta andare in un punto vendita, dire che si è smarrito il telefono e chiedere di spostare il numero su una nuova sim.
Facendo così qualcun altro potrebbe rubare il numero: ad alcuni interessa poco ma ci sono numeri di telefono che hanno un valore economico anche alto (si chiamano top numbers, non so se ci sia qualche appassionato qui).
E anche se fosse un numero senza alcun valore economico, dover ripartire con un numero nuovo implicherebbe darlo a tutti i propri contatti: una bella rottura.
Il tutto per dire: possibile che siano previste solo sanzioni per l'azienda e nessun rimborso per gli utenti coinvolti ?
p.s. @Mod: mi scuso per il doppio post consecutivo, giustificato con il tema totalmente slegato dal precedente