La segnalazione è VERA, la vendita di questo dump è attualmente aperta su questa board: http://kickassugvgoftuk.onion/--> Non è un forum "pubblico" ci puoi entrare con TOR (darkweb), sotto segnalazione (invito) oppure pagando l'ingresso.
All'interno troverai questo simpatico utente LongPig che vende il dump e fornisce come prova l'estratto di 10 entry del database. Gli estratti dalla board sono stati ripresi da quel famoso tweet, o da altre testate, esempio questa: https://securityreport.com/hacker-allegedly-selling-vodafones-ho-mobile-database-of-2-5m-users/
CASUALITA? Questi campi sono gli stessi delle API del servizioclienti
https://i.imgur.com/Asy0cB5.jpg
Quello che mi aspetto quindi è che VEI/Vodafone:
1. conferma quel dump è autentico --> Deve dichiarare il data breach / Bloccare tutte le portabilità / Capire come quelle informazioni sono state estratte e sistemare (es. una vulnerabilità sulle API) / Sostituire 2.5ml di SIM
2. Confermare che quel dump NON è autetico --> Se dichiara il falso commette un mega illecito davanti al GDPR
Attendiamo...
Ragazzi faccio giusto una correzione al mio post di pagina #16.
Il forum dove si sta purtroppo "consumando" la vendita è: CryptBB (non kickass), e fortunatamente ora è down: https://onion.live/site/cryptbb
Smettiamola di sminuire la notizia, sperando immaginando che le fonti non siano affidabili.
Qui ulteriori approfondimenti con il "venditore" interpellato direttamente: https://www.drcommodore.it/2020/12/30/ho-mobile-facciamo-chiarezza/
L'attenzione qui deve essere MASSIMA, il possibile danno ENORME.
1. Bisogna immediatamente farsi cambiare la SIM (lo fanno gratis e non pagando i 5€. il negoziante specifica "Problemi Tecnici". Fatto ieri...)
Poi:
2. Ho-Mobile deve dirci assolutamente le cose come stanno e non risposte politiche con: "dalle nostre verifiche non ci sono evidenze".
3. Se c'è stato un data breach deve necessariamente comunicarlo entro 72h come da standard GDPR
4. Se si continua con questa assenza di comunicazione, sporgere reclamo al garanteprivacy.it come indicato qui: https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/redress/what-should-i...
Facebook
Instagram
Youtube
