Tutto inizia la sera del 28 dicembre 2020 quando il gruppo di sicurezza informatica Bank Security riporta su twitter di aver trovato in vendita sul Dark Web un database di Ho.Mobile contenente le informazioni personali di circa 2.5 milioni di utenti.

La rilevanza di questo database è data dalla presenza di numerose informazioni aggregate: nomi, cognomi, indirizzi, codici fiscali, email, inclusi tutti i dati relativi alle sim; questi ultimi infatti espongono a rischio che venga effettuato un sim swap, ovvero che un malintenzionato possa sfruttare questi dati per sostituirsi all’utente ed effettuare una portabilità del numero telefonico ottenendo così accesso agli OTP, ovvero i codici di sicurezza che si ricevono abitualmente da vari servizi, a esempio quelli bancari, e la vittima se ne accorge solo nel momento in cui la propria sim smette di funzionare.

Al momento della scoperta il malintenzionato aveva messo a disposizione un set di 10 utenze verificate da diversi giornali online che avevano provato a contattare le vittime di questa violazione.

Ho. ha inizialmente riportato una mancanza di prove dell’attacco ai suoi database avviando comunque un’indagine per verificare cosa fosse successo.

Solo il 4 gennaio 2021 finalmente ha confermato il furto dei dati garantendo che non sono state sottratte informazioni bancarie o relative al traffico delle proprie sim.

Attualmente i clienti esposti stanno ricevendo i primi sms che avvisano del problema e che suggeriscono solamente la possibilità di sostituire gratuitamente la sim.

Nel frattempo molti utenti hanno già chiesto autonomamente una sostituzione della stessa (a pagamento) o in alternativa stanno migrando su altri gestori, motivo per cui si registrano rallentamenti sia nelle portabilità sia una carenza di sim presso i rivenditori. Attualmente le indagini sono ancora in corso e potrebbero rallentare anche le procedure di portabilità in entrata, la falla di sicurezza invece è stata eliminata e l’operatore dichiara di aver adottato ulteriori misure di sicurezza.

Lascia l’amaro in bocca la leggerezza con cui si sta trattata una questione importante come quella della privacy; la sostituzione della sim non dovrebbe essere solo possibile ma obbligatoria, così come dovrebbe essere consigliato cambiare il proprio indirizzo mail per ridurre problemi futuri in seguito alla sua possibile diffusione, visto l’aumento esponenziale di truffe online (le più comuni note come phishing e scam); o ancora meglio utilizzare più indirizzi per i servizi più importanti come quelli bancari.
Questo è l’ennesimo segnale di quanto si dia poca importanza alla sicurezza informatica e alla protezione dei dati personali, tema che dovrebbe rivestire un ruolo chiave per un futuro sempre più digitalizzato e di conseguenza sempre più esposto agli attacchi informatici.