Risale allo scorso 20 Marzo il Data Breach che ha colpito Wind Tre, consentendo agli hacker di visualizzare e acquisire in chiaro le user id e le password necessarie per l’accesso ai profili online dei clienti, con conseguente rischio di furto dati fra cui nominativo, codice fiscale, numero di telefono, mail, indirizzo e fatture degli ultimi sei mesi per chi li ha richiesti.
Adesso la società è obbligata ad informare le oltre 5mila potenziali vittime
Lo sancisce il provvedimento n. 226 dell’11 maggio scorso, stabilito dal Garante Privacy a tutela di tutte le vittime dell’attacco informatico, potenzialmente a rischio di furti di identità e di accessi non autorizzati ai dati personali.
La società ha precisato che la violazione è avvenuta “sul sistema informatico di selfcare tre.it proprietà di Wind Tre spa già H3G spa”. L’attacco riguarda l’illecita acquisizione di credenziali contenute in un file contenenti i dati di 5.118 clienti (di cui 683 non più attivi).
Non è chiaro quando esattamente il data breach sia avvenuto, se prima o dopo la chiusura della fusione fra Wind e Tre, la cui integrazione è stata completata a novembre 2016, e nemmeno se il data base in questione sia ancora in mano ad H3G. Ciò non toglie che ora Wind Tre debba comunicare il data breach a tutti i clienti potenzialmente interessati.
Il file oggetto dell’attacco hacker era stato generato, secondo la verifica del Garante, nel corso di un intervento tecnico e per errore non è stato cancellato al termine dell’operazione. Una volta rilevato il data breach, WindTre ha informato solo quei clienti di cui risultava un accesso all’area personale durante le ore dell’attacco, ignorando le altre 5000 potenziali vittime, i cui dati erano presenti nel file in questione. Per questi ultimi l’azienda ha avviato in automatico (senza però informarli del motivo dell’operazione) il procedimento di cambio di password e Id.
Il Garante invece, ha ribadito che la sola acquisizione delle credenziali di accesso è già di per sé fonte di potenziale pregiudizio, indipendentemente dal loro effettivo utilizzo da parte degli hacker.
In altre parole, in caso di data breach l’azienda doveva avvertire tutti i clienti vittima del furto delle credenziali e non soltanto i 402 clienti per i quali risultava un accesso all’area personale al momento del suo rilevamento il 20 marzo.
Le medesime credenziali di accesso possono essere utilizzate dai criminali per accedere ad altri portali e servizi online diversi, per i quali i clienti abbiano deciso di usare le stesse credenziali di accesso. Oppure, nel caso in cui la user id sia costituita dal numero telefonico del cliente, è possibile recuperare in rete il nominativo dell’abbonato ed accedere ad altri profili aperti a suo nome.