Il provvedimento è dello scorso 11 maggio 2017, ma è solo negli ultimi giorni, con i riflettori puntati sulla relazione annuale dell’Autorità Garante per la Protezione dei Dati Personali, che l’argomento è diventato caldo.

L’Atto del Garante prevede che Wind Tre comunichi per iscritto ad oltre 5000 clienti che sono stati vittima di un data breach, che ha messo a rischio i propri dati personali e li inviti a verificare che le proprie credenziali siano sicure.

Ma quali dati sarebbero a rischio e in che modalità gli hacker avrebbero avuto accesso agli stessi?

Facciamo un passo indietro e torniamo al settembre dello scorso anno. Un banale intervento di tuning di alcuni sistemi informatici di 3 Italia, legati all’Area Clienti del gestore, avrebbe lasciato sui server H3G un file di testo contenente le credenziali di accesso in chiaro di 5118 clienti (user-id e password), che avrebbe dovuto invece essere automaticamente cancellato al termine delle operazioni.

Tale svista si è rivelata essere – come prevedibile – una bomba ad orologeria, che è scoppiata il 20 marzo di quest’anno, quando persone esterne a Wind Tre e al fornitore di servizi responsabile della gestione del Self Care 3 hanno avuto accesso a tale file, sfruttando una vulnerabilità al momento poco nota e pertanto non ancora corretta.

Non appena è stata scoperta la falla, 3 è corsa ai ripari, eliminandola e bloccando le utenze impattate, forzando per le medesime un cambio di password, rendendo dunque impossibili futuri accessi non autorizzati ai dati personali dei clienti. Ha inoltre contattato personalmente le numerazioni incluse nel file e per le quali risultava essere avvenuto un accesso all’Area Clienti nel periodo successivo all’intromissione, un totale di 402 utenze.

Tutto è bene quel che finisce bene? Forse sì, ma per il Garante per la Privacy la storia non può, anzi non deve, finire qui. Se Wind Tre ha fatto il suo dovere, infatti, informando quei 402 clienti per cui potrebbero essere stati esposti i dati personali contenuti nel Self Care, ha sbagliato nel ritenere superfluo farlo anche con gli altri.

Questo provvedimento, dunque, si è imposto a Wind Tre S.p.A. di comunicare per iscritto a tutti i propri clienti oggetto del furto delle credenziali, per un totale di 5118 utenze, quanto avvenuto. Infatti – spiega il Garante – la sola acquisizione di credenziali di accesso è da ritenere già di per sé fonte di potenziale pregiudizio per gli interessati, indipendentemente dal fatto che ne consegua un effettivo utilizzo per accedere a specifiche aree riservate, in considerazione della probabilità che le medesime credenziali possano essere utilizzate per accedere a diversi portali web, atteso che la user-id è costituita dal numero telefonico dell’utente.

Oltretutto, proprio questa particolarità costituisce un’aggravante del rischio, in quanto si tratta di un dato di per sé direttamente e univocamente identificativo e che, alla luce delle tecnologie disponibili, può essere utilizzato come chiave per individuare in rete l’utente e conseguentemente accedere anche ad altre informazioni allo stesso correlate.

Articolo precedenteIl listino di 3 si arricchisce di una nuova opzione: ecco PLAY Limited Edition
Prossimo articoloiPhone 8 con iOS 11: ecco come viene ridisegnato in nuovi concept

Benvenuti su Viktec, sono un ragazzo da sempre appassionato di Tecnologia in tutti i suoi aspetti dall’acquisto del suo primo smartphone, con una predilezione verso . Blogger, recensore e amministratore di Viktec. Viktec è il mio spazio libero, dove posso fare quello che più mi piace, occuparmi di  e della tecnologia in generale, tramite articoli, guide e recensioni, tenendo gli utenti sempre informati. Sono possessore di tutti prodotti  ed in piu di accessori derivati . ?Tutt’ora mi occupo di assistenza virtuale e di assistenza fisica(sostituzione componenti di qualsiasi dispositivo tech).
⛔️Chiunque avesse bisogno può contattarmi su Telegram a @Biker800⛔️.
‼️What is my Personal Slogan⁉️ Stay Hungry! Stay Foolish! 
Spero che il mio lavoro sia ben gradito da tutti???!

CONDIVIDI