Il database del quarto fornitore canadese di telefonia mobile non era protetto né criptato

Il team di ricerca di vpnMentor, guidato dagli hacktivisti Noam Rotem e Ran Locar, ha scoperto una violazione che espone i dati personali di fino a 1,5 milioni di utenti attivi Freedom Mobile (in precedenza Wind Mobile), il quarto fornitore canadese di telefonia mobile.

Il suo database era completamente non protetto e non criptato. I dati esposti includono numeri di carta di credito e codici di verifica (CVC/CVV).

Cronologia della scoperta della violazione e della reazione:

  • 17 Aprile: Scoperta la perdita nel database di Freedom Mobile.
  • 18 Aprile: Inviata un’e-mail a Freedom Mobile per informare l’azienda di questa grave violazioni dei dati. Nessuna risposta ricevuta.
  • 23 Aprile: Secondo tentativo di entrare in contatto con Freedom Mobile.
  • 24 Aprile: Freedom Mobile finalmente risponde ai messaggi.
  • 24 Aprile: Freedom Mobile risolve la violazione dei dati.

Esempi di voci nel database

Analogamente al database Elasticsearch non protetto di Gearbest, il database di Freedom Mobile era completamente non criptato. È stato possibile ottenere pieno accesso a più di 5 milioni di registri, che corrispondono a 1,5 milioni di utenti.

Sembrerebbe che questi registri riflettano ogni azione intrapresa all’interno di un account utente, consentendo l’inserimento di più voci per cliente.

I dati personali esposti includono:

  • indirizzi email
  • numeri di casa e di cellulare
  • indirizzi di casa
  • date di nascita
  • tipo di cliente
  • Indirizzi IP collegati al metodo di pagamento
  • numeri di carta di credito e codici CVC/CVV non criptati
  • risposte di Equifax e altre società in merito al punteggio di credito, con i motivi dell’accettazione/rifiuto.

È stato inoltre possibile accedere ai numeri di conto, alle date di abbonamento, alle date del ciclo di fatturazione e ai dati del servizio clienti, comprese le ubicazioni degli utenti.

Alcune voci includevano anche dati di un database Equifax, che riportava informazioni sui punteggi di credito, classi di credito e conti delle carte di credito.

Impatto della violazione dei dati

Ironia della sorte, Freedom Mobile è orgogliosa di offrire alti livelli di privacy, come dichiara anche nella sua bio di Twitter:

Ciononostante, ha chiaramente condiviso, e in misura eccessiva, i dati dei propri clienti.

Dopo aver scoperto la violazione dei dati, vpnMentor ha rapidamente allertato Freedom Mobile riguardo al problema. Non avendo ricevuto una risposta immediata, ha chiesto aiuto ad un altro sito di sicurezza per contattare l’azienda, nel dubbio che le e-mail finissero nella cartella spam. Avendo alla fine ricevuto una risposta, è chiaro che non era questo il caso.

Per motivi etici il database non è stato scaricato, quindi non è possibile sapere esattamente quante persone sono state coinvolte in questa violazione.

Tuttavia, è stato possibile accedere ad almeno 5 milioni di registri non protetti. Freedom Mobile possiede almeno 1,5 milioni di abbonati e la società madre è di proprietà della Shaw Communications, che conta più di 3,2 milioni di clienti in tutto il Canada. Questa potrebbe essere la più grande violazione subita da un’azienda canadese.

È raro imbattersi in una fuga di dati che include sia le informazioni sulle carte di credito che i codici CVC/CVV, soprattutto nel caso di una violazione di tale portata.

Poiché questa fuga di dati include informazioni non criptate sulle carte di credito dei propri clienti, è ben possibile che Freedom Mobile non sia in linea con gli standard di protezione PCI (Payment Card Industry). Ciò potrebbe portare a gravi ripercussioni nel mondo reale sia per l’azienda che per i suoi utenti.

I pericoli degli attacchi informatici

Un database completo di dati di carte di credito, date di nascita, nomi completi, indirizzi e numeri telefonici consente anche frodi su carte di credito e furti di identità. Ciò potrebbe costare centinaia di migliaia di dollari agli utenti, nonché alle loro banche e compagnie assicurative.

Un database non criptato contenente informazioni personali è una risorsa preziosa per gli hacker. L’accesso a indirizzi di casa, indirizzi e-mail, numeri di telefono e dati delle carte credito permette ad individui malintenzionati di mettere in atto sofisticati schemi di phishing.

Le informazioni sul credito consentono inoltre attacchi altamente mirati con virus di riscatto (ransomware), in quanto grazie ad esse questi criminali sanno a chi possono chiedere cifre elevate.

Anche l’utente più prudente non può difendersi da un’azienda che salva i propri dati su un database non protetto. Il modo migliore per proteggersi è quello di collegare al proprio account una carta, un conto o un codice CVC/CVV temporanei. Per maggiori informazioni, consultare la Guida completa.