Oltre 365mila clienti WindTre vittime di un data breach. Il Garante per la Privacy sanziona l’operatore per 1,7 milioni di euro. I dati sono a rischio?
L’Autorità italiana per la protezione dei dati personali ha inflitto una maxi multa da 1,715.600 euro a WindTre in seguito all’ultimo attacco hacker che ha esposto i dati di almeno 365mila clienti dell’operatore. È stata in particolare contestata la presenza di falle significative nella protezione dei sistemi informatici.
A seguito di due intrusioni non autorizzate, i malintenzionati sono riusciti a mettere le mani su migliaia di informazioni personali. Per una parte dei clienti colpiti, esattamente 41.359 persone, il danno è stato ancora più grave. Oltre ai dati anagrafici, infatti, ad essere finiti nei sistemi degli hacker sono state anche informazioni legate ai pagamenti. Tra queste coordinate IBAN e numeri delle carte di credito parzialmente mascherati.
Com’è avvenuto l’attacco hacker
Per poter accedere ai dati personali dei clienti WindTre, il gruppo di cybercriminali ha approfittato di alcune falle di sistema. In che modo? Fingendosi operatori del supporto tecnico e facendosi aprire le porte dai dipendenti di due negozi fisici, ottenendo così un accesso diretto alle piattaforme interne dell’azienda.
Dai PC hanno prelevato anagrafiche e recapiti dei clienti. WindTre aveva segnalato spontaneamente i due episodi al Garante per la Privacy, che ha così fatto partire l’indagine. Nelle varie verifiche condotte, sono emersi problemi nelle modalità con cui venivano gestite credenziali e certificati digitali per l’accesso ai sistemi, oltre a controlli di sicurezza interni troppo superficiali.
Questo insieme di fattori ha portato all’accusa di violazione degli obblighi di sicurezza previsti dal GDPR. WindTre è dovuta intervenire con più protezione per le credenziali e per i certificati, ma anche per i sistemi di gestione delle password. Inoltre, è stato messo in atto un rafforzamento generale delle procedure interne.
I tuoi dati sono a rischio?
Se sei un cliente WindTre, potresti rientrare nella cerchia degli oltre 365mila utenti hackerati. Quali sono i rischi? Fortunatamente i numeri completi delle carte di pagamento non sono stati esposti, dunque non dovrebbero esserci problemi riguardanti prelievi non autorizzati di denaro dai conti correnti.
Si teme invece per il phishing. Questo perché i malintenzionati sono riusciti a ottenere nome e cognome completi, contatti e dettagli parziali sui pagamenti. Un truffatore potrebbe quindi tranquillamente creare un messaggio ad hoc convincente fingendosi WindTre e ricordarti di un pagamento arretrato. Probabilmente da confermare cliccando su un link dedicato, nel quale inserire i dati di pagamento completi che poi finirebbero nelle loro mani.
La raccomandazione principale per difendersi rimane la stessa. Mai un operatore telefonico ti contatterà via SMS, email o telefono per chiederti codici di accesso o numeri completi della tua carta di credito o debito. Se hai dubbi, è sempre consigliato contattare direttamente l’operatore telefonico attraverso i canali ufficiali disponibili sul sito web di WindTre.