Wind Tre dovrà comunicare per iscritto a oltre 5mila clienti di aver subito un attacco informatico lo scorso 20 marzo, che ha consentito di visualizzare e acquisire in chiaro le user id e le password necessarie per l’accesso al loro profilo online e al rischio di furto dati fra cui nominativo, codice fiscale, numero di telefono, mail, indirizzo e fatture degli ultimi sei mesi per chi li ha richiesti.
Lo ha stabilito il Garante Privacy nel suo provvedimento n. 226 dell’11 maggio scorso, a tutela di tutte le vittime dell’attacco informatico, potenzialmente esposte al rischio di furti di identità e di accessi non autorizzati ai dati personali.
Wind Tre ha comunicato di aver subito il data breach il 21 marzo scorso, precisando che la violazione è avvenuta “sul sistema informatico di selfcare tre.it proprietà di Wind Tre spa già H3G spa”. Con la conseguente illecita visualizzazione ed acquisizione di credenziali contenute in un file contenenti i dati di 5.118 clienti (di cui 683 non più attivi) rilevato il 20 marzo 2017 da un proprio fornitore di servizi. C’è da dire che per 402 dei 5.118 clienti poteva anche essersi verificato un accesso non autorizzato all’area personale del sistema “Selfcare” di Tre (area clienti) nella quale è presente, tra l’altro, l’anagrafica cliente.
Non è chiaro quando esattamente il data breach sia avvenuto, se prima o dopo la chiusura della fusione fra Wind e Tre, la cui integrazione è stata completata a novembre 2016, e nemmeno se il data base in questione sia ancora in mano ad H3G. Ciò non toglie che ora Wind Tre debba comunicare il data breach a tutti i clienti potenzialmente interessati.
Il Garante invece, ha ribadito che la sola acquisizione delle credenziali di accesso è già di per sé fonte di potenziale pregiudizio, indipendentemente dal loro effettivo utilizzo da parte degli hacker.
In altre parole, in caso di data breach l’azienda doveva avvertire tutti i clienti vittima del furto delle credenziali e non soltanto i 402 clienti per i quali risultava un accesso all’area personale al momento del suo rilevamento il 20 marzo.
Le medesime credenziali di accesso possono essere utilizzate dai criminali per accedere ad altri portali e servizi online diversi, per i quali i clienti (poco consapevoli dei rischi per la sicurezza e all’oscuro del data breach) abbiano deciso di usare le stesse credenziali di accesso. In questo modo, i clienti potranno cambiare le credenziali oggetto del data breach di Wind Tre incautamente utilizzate anche per altri servizi online.
E nel caso in cui la user id sia costituita dal numero telefonico del cliente è peraltro possibile con le tecnologie in circolazione recuperare in rete il nominativo dell’abbonato ed accedere ad altri profili aperti a suo nome.
Alcune delle foto presenti su Privacyitalia.eu potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2017-2018 Associazione Privacy Italia - C.F. 91039930192 - P. Iva 01685370197 - Informativa Privacy
Con il sostegno di: