Wind Tre dovrà comunicare per iscritto a oltre 5mila clienti di aver subito un attacco informatico lo scorso 20 marzo, che ha consentito di visualizzare e acquisire in chiaro le user id e le password necessarie per l’accesso al loro profilo online e al rischio di furto dati fra cui nominativo, codice fiscale, numero di telefono, mail, indirizzo e fatture degli ultimi sei mesi per chi li ha richiesti.
Lo ha stabilito il Garante Privacy nel suo provvedimento n. 226 dell’11 maggio scorso, a tutela di tutte le vittime dell’attacco informatico, potenzialmente esposte al rischio di furti di identità e di accessi non autorizzati ai dati personali.
Wind Tre ha comunicato di aver subito il data breach il 21 marzo scorso, precisando che la violazione è avvenuta “sul sistema informatico di selfcare tre.it proprietà di Wind Tre spa già H3G spa”. Con la conseguente illecita visualizzazione ed acquisizione di credenziali contenute in un file contenenti i dati di 5.118 clienti (di cui 683 non più attivi) rilevato il 20 marzo 2017 da un proprio fornitore di servizi. C’è da dire che per 402 dei 5.118 clienti poteva anche essersi verificato un accesso non autorizzato all’area personale del sistema “Selfcare” di Tre (area clienti) nella quale è presente, tra l’altro, l’anagrafica cliente.
Non è chiaro quando esattamente il data breach sia avvenuto, se prima o dopo la chiusura della fusione fra Wind e Tre, la cui integrazione è stata completata a novembre 2016, e nemmeno se il data base in questione sia ancora in mano ad H3G. Ciò non toglie che ora Wind Tre debba comunicare il data breach a tutti i clienti potenzialmente interessati.
Dalla verifica ispettiva del Garante è emerso che il file con i dati dei 5000 clienti, diventato poi oggetto del successivo attacco hacker, era stato generato nel corso di un intervento tecnico e per errore non era stato cancellato, come da prassi, al termine dell’operazione. Rilevato il data breach, Wind Tre ha informato soltanto i 402 clienti per i quali era risultato un accesso alla propria area personale nelle ore in cui era in corso l’incidente, ritenendo che solo per essi potesse configurarsi un potenziale rischio di furto dati, escludendo invece gli altri 5000 clienti vittime del furto delle credenziali di accesso, per i quali l’azienda ha peraltro avviato in automatico (senza però informarli del motivo dell’operazione) il procedimento di cambio di password e Id.
Il Garante invece, ha ribadito che la sola acquisizione delle credenziali di accesso è già di per sé fonte di potenziale pregiudizio, indipendentemente dal loro effettivo utilizzo da parte degli hacker.
In altre parole, in caso di data breach l’azienda doveva avvertire tutti i clienti vittima del furto delle credenziali e non soltanto i 402 clienti per i quali risultava un accesso all’area personale al momento del suo rilevamento il 20 marzo.
Le medesime credenziali di accesso possono essere utilizzate dai criminali per accedere ad altri portali e servizi online diversi, per i quali i clienti (poco consapevoli dei rischi per la sicurezza e all’oscuro del data breach) abbiano deciso di usare le stesse credenziali di accesso. In questo modo, i clienti potranno cambiare le credenziali oggetto del data breach di Wind Tre incautamente utilizzate anche per altri servizi online.
E nel caso in cui la user id sia costituita dal numero telefonico del cliente è peraltro possibile con le tecnologie in circolazione recuperare in rete il nominativo dell’abbonato ed accedere ad altri profili aperti a suo nome.
