Data breach Lycamobile: documenti di identità, carte di credito, numeri di telefono e altri dati sensibili online


Una notizia che dovrebbe avere le prime pagine dei giornali, nei giorni scorsi è passata praticamente del tutto inosservata, con l’unica eccezione della versione online del quotidiano La Stampa.

Parliamo del data breach (violazione dei dati personali) dello scorso 5 novembre ai danni di Lycamobile, l’operatore mobile virtuale che opera come Full MVNO su rete Vodafone.

Il gruppo di hacker LulzSec (Lulz Security) aveva annunciato sul proprio profilo Twitter di aver messo le mani su una grande quantità di informazioni sensibili dei clienti Lycamobile, parliamo di carte di identità, tessere sanitarie, passaporti, carte di credito, moduli di attivazione SIM (quindi con numeri di telefono, mail e codici seriali delle SIM vendute) e credenziali di accesso di alcuni rivenditori Lycamobile.

Una minima parte di questi dati è stata poi messa online tramite la piattaforma MEGA, rendendoli praticamente accessibili a tutti (malintenzionati compresi), almeno fino a quanto la cartella non è stata rimossa.

Tweet LulzSecITA Lycamobile

Il tweet del 5 novembre con l’annuncio del data breach

Per capire meglio la gravità di questo data breach, ecco un esempio di dati resi pubblici: qui di seguito potete vedere un modulo di richiesta attivazione SIM Lycamobile (con tutti i dati dei clienti oscurati, ma visibili nel file originale), così come uno dei tanti documenti d’identità resi pubblici (ringraziamo Edoardo Limone per questi due preziosi contributi).

In questi casi, secondo la direttiva europea sulle violazioni dei dati personali, Lycamobile ha l’obbligo di comunicare quanto accaduto al Garante entro 72 ore dalla scoperta dell’evento. Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.

Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.  Inoltre, entro 3 giorni dall’evento, è previsto l’obbligo di comunicazione agli utenti, che non è dovuto solo nel caso in cui venga dimostrato che l’operatore ha utilizzato sistemi di cifratura e di anonimizzazione che rendono inaccessibili i dati”.

Essendo state rese pubbliche informazioni sensibili come numeri di telefono, mail, documenti di identità e tantissimi altri dati di ignari clienti, Lycamobile ha l’obbligo di informare tutti i suoi clienti sull’accaduto (nella speranza che il Garante della privacy sia stato già informato).

Le 72 ore sono passate, ma da parte di Lycamobile ad oggi non c’è stata nessuna comunicazione verso i propri clienti, né diretta (via SMS sulle singole utenze), né tramite il sito ufficiale dell’operatore mobile virtuale.

Giusto un anno fa Lycamobile era finita nei guai per il caso delle SIM vendute senza richiedere un documento valido, ora chi rischia sono innanzitutto gli utenti di questo operatore mobile virtuale, perché con certi dati personali resi pubblici, chiunque potrà utilizzare la loro identità per commettere illeciti o richiedere informazioni sensibili.


Non perdere nemmeno una notizia, i nostri approfondimenti e le anteprime esclusive, unisciti alle oltre 2.900 persone che hanno scelto di ricevere le notifiche di nuove pubblicazioni in tempo reale con il nostro canale Telegram oppure scarica la nostra Web App gratuita o seguici su Facebook Twitter

3 Risposte

  1. NickByte ha detto:

    Basta che qualche Autorità, di cui in Italia siamo pieni, dia 24 ore a Lyca per adeguarsi alla Leggo o gli blocca gli accessi alle antenne di cui si servono …..non si capisce infatti perchè venga consentito l’accesso alla rete telefonica se non danno garanzie di Legge.

  2. Sandro ha detto:

    Meglio pagare qualcosa in più ed affidarsi ad operatori con infrastrutture proprie, se fosse capitato a me li avrei subito querelati con richiesta danni!

  3. Davide ha detto:

    Trovo tutto molto assurdo. Personalmente non mi piace questo operatore come altri minori e non mi affiderei mai a loro

Commenta o Rispondi ad un commento..

%d blogger hanno fatto clic su Mi Piace per questo: