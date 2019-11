Una notizia che dovrebbe avere le prime pagine dei giornali, nei giorni scorsi è passata praticamente del tutto inosservata, con l’unica eccezione della versione online del quotidiano La Stampa.

Parliamo del data breach (violazione dei dati personali) dello scorso 5 novembre ai danni di Lycamobile, l’operatore mobile virtuale che opera come Full MVNO su rete Vodafone.

Il gruppo di hacker LulzSec (Lulz Security) aveva annunciato sul proprio profilo Twitter di aver messo le mani su una grande quantità di informazioni sensibili dei clienti Lycamobile, parliamo di carte di identità, tessere sanitarie, passaporti, carte di credito, moduli di attivazione SIM (quindi con numeri di telefono, mail e codici seriali delle SIM vendute) e credenziali di accesso di alcuni rivenditori Lycamobile.

Una minima parte di questi dati è stata poi messa online tramite la piattaforma MEGA, rendendoli praticamente accessibili a tutti (malintenzionati compresi), almeno fino a quanto la cartella non è stata rimossa.

Per capire meglio la gravità di questo data breach, ecco un esempio di dati resi pubblici: qui di seguito potete vedere un modulo di richiesta attivazione SIM Lycamobile (con tutti i dati dei clienti oscurati, ma visibili nel file originale), così come uno dei tanti documenti d’identità resi pubblici (ringraziamo Edoardo Limone per questi due preziosi contributi).

In questi casi, secondo la direttiva europea sulle violazioni dei dati personali, Lycamobile ha l’obbligo di comunicare quanto accaduto al Garante entro 72 ore dalla scoperta dell’evento. Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.

Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto. Inoltre, entro 3 giorni dall’evento, è previsto l’obbligo di comunicazione agli utenti, che non è dovuto solo nel caso in cui venga dimostrato che l’operatore ha utilizzato sistemi di cifratura e di anonimizzazione che rendono inaccessibili i dati”.

Essendo state rese pubbliche informazioni sensibili come numeri di telefono, mail, documenti di identità e tantissimi altri dati di ignari clienti, Lycamobile ha l’obbligo di informare tutti i suoi clienti sull’accaduto (nella speranza che il Garante della privacy sia stato già informato).

Le 72 ore sono passate, ma da parte di Lycamobile ad oggi non c’è stata nessuna comunicazione verso i propri clienti, né diretta (via SMS sulle singole utenze), né tramite il sito ufficiale dell’operatore mobile virtuale.

Giusto un anno fa Lycamobile era finita nei guai per il caso delle SIM vendute senza richiedere un documento valido, ora chi rischia sono innanzitutto gli utenti di questo operatore mobile virtuale, perché con certi dati personali resi pubblici, chiunque potrà utilizzare la loro identità per commettere illeciti o richiedere informazioni sensibili.

