ShinyHunters ha informato Odido della propria violazione da 6,5 milioni di clienti

Cosa ha esposto la violazione di Odido e chi è coinvolto

La violazione dei dati di Odido è una delle storie più scomode emerse dal settore delle telecomunicazioni europeo quest'anno. Odido, il terzo operatore di telefonia mobile nei Paesi Bassi, ha subito il furto dei dati di 6,5 milioni di clienti a febbraio. Dati di contatto, date di nascita, numeri identificativi dei clienti e altre informazioni personali sono stati raccolti nell'attacco. Ciò che rende questo incidente particolarmente sorprendente non è solo la portata. È il fatto che il team di sicurezza interno di Odido non se ne sia accorto affatto.

L'azienda ha confermato di essere venuta a conoscenza della violazione solo dopo che il gruppo di hacker ShinyHunters l'ha contattata direttamente. ShinyHunters, un prolifico gruppo criminale informatico noto per il furto di dati su larga scala, ha di fatto notificato la vittima. Il CEO di Odido ha riconosciuto pubblicamente che sono stati commessi degli errori. Le password, i dati di fatturazione, i registri delle chiamate e i dati di localizzazione non sarebbero stati inclusi nel dataset rubato, ma questa limitata rassicurazione non cambia il problema centrale: milioni di persone hanno avuto i propri dati di telecomunicazione esposti all'insaputa dell'azienda.

Come il rilevamento interno di Odido ha fallito per mesi

Questa è la parte della storia della violazione dei dati di Odido che la maggior parte della copertura mediatica sorvola. Un attacco è avvenuto a febbraio. L'azienda ha condotto un'indagine interna. Tale indagine non ha trovato nulla. Ci sono voluti gli stessi aggressori per chiudere il cerchio.

Questo tipo di fallimento nel rilevamento non è esclusivo di Odido. Le aziende di telecomunicazioni gestiscono imponenti sistemi CRM con milioni di record, e tecniche di intrusione sofisticate possono lasciare tracce minime se l'aggressore è prudente. Ma il fallimento indica una lacuna sistemica: il monitoraggio interno era evidentemente insufficiente a rilevare l'esfiltrazione dei dati in tempo reale. Quando Odido ha confermato quanto accaduto, i dati erano già nelle mani di un gruppo con una storia di vendita di record rubati nei mercati del dark web.

Per contestualizzare il pattern più ampio di ShinyHunters, il gruppo è stato collegato a molteplici violazioni su larga scala in cui le aziende erano ugualmente lente a reagire o inconsapevoli. Il loro attacco a Canvas all'inizio di quest'anno ha seguito un copione simile: esfiltrare i dati, rendere pubblica la violazione o comunicarla alla vittima, e fare pressione. L'incidente di Odido si adatta a quel schema quasi perfettamente.

Perché le violazioni nelle telecomunicazioni sono particolarmente pericolose per la privacy

Non tutte le violazioni di dati comportano lo stesso rischio futuro. I dati delle telecomunicazioni si trovano in un'intersezione particolarmente pericolosa perché collegano la tua identità reale al tuo numero di telefono, e questa combinazione sblocca una serie specifica di attacchi.

La frode tramite SIM swap è la preoccupazione più immediata. Quando un aggressore ha il tuo nome, numero di telefono e dati dell'account, può contattare il tuo operatore fingendo di essere te e richiedere il trasferimento della SIM su un dispositivo che controlla. Una volta in possesso del tuo numero, può intercettare i codici di autenticazione a due fattori via SMS e accedere a conti bancari, email e portafogli di criptovalute. Questo non è un rischio teorico. È uno dei principali metodi di monetizzazione dei record di telecomunicazione rubati.

Oltre ai SIM swap, i metadati delle telecomunicazioni consentono phishing altamente mirato. Un aggressore che conosce il tuo nome, il tuo numero di cellulare e il fatto che sei cliente di un determinato operatore può creare messaggi convincenti che si spacciano per il team di supporto di quell'operatore. Non si tratta di messaggi spam generici. Sono attacchi di ingegneria sociale costruiti su dati reali, il che li rende significativamente più difficili da individuare.

Questo fa parte di un pattern più ampio visibile nelle violazioni in tutta Europa. La fuga di dati del provider email francese che ha esposto 40 milioni di record e l'esposizione di 18 milioni di record di identità francesi da parte di un giovane hacker hanno entrambe mostrato come l'aggregazione di dati personali acceleri il rischio per i singoli individui, anche quando nessuna singola informazione appare catastrofica di per sé. I dati delle telecomunicazioni sono particolarmente preziosi perché anchorano tutte quelle informazioni aggregate a un canale di comunicazione raggiungibile e in tempo reale.

Protezioni a più livelli che gli utenti VPN dovrebbero aggiungere dopo le fughe di dati nelle telecomunicazioni

Se sei un cliente Odido, o semplicemente qualcuno che sta riflettendo su cosa significa questa violazione per persone come te, ci sono passi concreti che vale la pena intraprendere ora.

Primo, contatta il tuo operatore mobile e chiedi di aggiungere un blocco SIM o un blocco di portabilità al tuo account. Questo rende significativamente più difficile per un aggressore trasferire il tuo numero senza verifica di persona. Molti operatori offrono questa opzione senza promuoverla in modo evidente.

Secondo, allontanati dall'autenticazione a due fattori basata su SMS ovunque sia possibile. Usa invece un'app di autenticazione. Se il tuo numero di telefono viene compromesso in un SIM swap, i codici SMS diventano un rischio anziché una protezione.

Terzo, verifica dove il tuo numero di telefono viene utilizzato come metodo di recupero. Gli account email, le app bancarie e le piattaforme di social media che usano il tuo numero di cellulare per il recupero dell'account sono tutti potenziali bersagli se i tuoi dati di telecomunicazione sono stati esposti.

Quarto, considera una VPN con protezione dalle perdite DNS per il tuo dispositivo mobile. Una VPN non previene un SIM swap, ma aggiunge un livello di protezione per il traffico di navigazione e delle app sul tuo dispositivo, in particolare sulle reti pubbliche dove un aggressore potrebbe tentare di intercettare il traffico dopo una compromissione della SIM.

Infine, utilizza un servizio di monitoraggio delle violazioni per tenere traccia se il tuo indirizzo email o numero di telefono compare in dataset trapelati di recente. Have I Been Pwned ha già indicizzato la violazione di Odido.

Cosa significa per te

La violazione dei dati di Odido è un promemoria del fatto che le aziende che detengono i tuoi dati potrebbero non sapere che sono stati rubati fino a quando qualcun altro non glielo dice. I fallimenti nel rilevamento accadono, e quando succede, la finestra temporale tra il furto e la tua consapevolezza può durare mesi. Durante quel lasso di tempo, i tuoi dati possono essere comprati, venduti e utilizzati.

Prendila come spunto per verificare la sicurezza del tuo account di telecomunicazione e ridurre la tua dipendenza dall'autenticazione basata sul numero di telefono per i tuoi account più sensibili. L'incidente di Odido vale anche la pena di essere esaminato in parallelo con l'attività più ampia di ShinyHunters. Comprendere il pattern del gruppo nel prendere di mira grandi piattaforme rivolte ai consumatori aiuta a spiegare perché nessuna singola azienda o settore possa essere considerato al sicuro. Inizia dal tuo numero di telefono. È la chiave che sblocca più di quanto la maggior parte delle persone realizzi.