Il buco nel telefono di Telefonica
L'operatore spagnolo ha subito una violazione di sicurezza esponendo milioni di dati degli utenti a causa di una vulnerabilità dei sistemi informatici
La nuova legge europea sulla privacy, la GDPR, inizia a fare le sue prime vittime illustri. Questa volta è il caso di Telefonica, il colosso della telefonia spagnolo. Molto probabilmente è la più GRANDE VIOLAZIONE DATI DELLA SICUREZZA nelle telecomunicazioni spagnole. L'operatore spagnolo Telefonica ha subito una violazione di sicurezza, esponendo milioni di dati degli utenti. La criticità è stata immediatamente risolta dai tecnici dell'operatore telefonico prima che l'associazione dei consumatori spagnola FCUA rendesse pubblica la notizia.
Telefonica Data Breach
Dal 25 maggio, con l'entrata in vigore della legge europea sulla privacy, i casi di data breach sono stati diversi. Solo in Italia c'è stato un incremento pari al 500% di violazione di dati ufficialmente segnalati al Garante della Privacy. Trovare in questo elenco un operatore telefonico è sicuramente preoccupante. Nello specifico, Movistar, primario operatore telefonico spagnolo di proprietà di Telefonica, a causa di una vulnerabilità dei propri sistemi informatici, permetteva a chiunque di poter accedere ai dati dei propri utenti. La criticità ha potenzialmente esposto milioni di dati online a chiunque avesse un minimo di conoscenza tecnica.
Questa vulnerabilità permetteva ad un terzo malintenzionato di accedere alle informazioni di qualsiasi utente-cliente di Movistar. In particolare erano disponibili: i dati di fatturazione, i numeri telefonici della linea fissa e mobile, i dati dell'utente, l'indirizzo fisico, l'email, il nome della banca - per chi aveva la domiciliazione del pagamento, lo storico delle fatturazioni e tanti altri dati relativi al consumo.
Tutte le informazioni erano disponibili a video, ma per chi fosse stato meno "digital", era possibile scaricare il tutto in un comodo file che poteva essere letto come foglio Excel.
La Vulnerabilità di Telefonica
La vulnerabilità che ha causato questa esposizione dei dati è relativa agli URL Dinamici. Per intenderci si opera manualmente a livello di barra degli indirizzi. E' necessario individuare i parametri di riferimento e modificarli in base alla necessità. Per esempio: una risorsa è disponibile solo agli utenti admin. Se cliccando su quella risorsa l’URL mi fornisce un parametro admin=false, posso provare a modificare la variabile in true a livello di link e mi permette di poter accedere alla risorsa indicata.
Nel caso di Telefonica, la criticità funzionava in maniera più semplice. Nel link, c'era un codice. Il codice corrispondeva all'identificativo dell'utente. Cambiando i valori di quel codice era possibile accedere al portale dedicato a ciascun utente. Quindi, potenzialmente, automatizzando con un semplice script (un software) era possibile raccogliere tutte le informazioni personali dei clienti di Movistar.
Movistar è il più grande operatore di telefonia mobile della Spagna. Una vulnerabilità che di fatto non richiedeva alcuna competenza tecnica e non era necessaria alcuna nozione di hacking. La criticità è stata resa pubblica da FACUA, la ONG spagnola dedicata alla difesa dei consumatori.
Telefonica e non solo...
Il caso di Telefonica risulta essere molto simile ad un incidente analogo che nel 2017 ha coinvolto il Ministero della Giustizia Spagnolo. La vulnerabilità era presente nel sistema telematico LexNet.
LexNet è la piattaforma di comunicazione e storage utilizzata dagli organi giudiziari e dai suoi operatori come avvocati e giudici. Come nel caso di Telefonica, era possibile accedere ai dati di tutti i documenti presenti nel sistema.
Telefonica: Vulnerabilità e GDPR
Tutti noi siamo convinti che gli attacchi informatici siano condotti con tecniche evolute e complesse. La realtà, che quotidianamente vediamo e constatiamo, è che i cyberattack sfruttano principalmente vulnerabilità non solo note da tempo ma spesso estremamente semplici da sfruttare. Il rischio di data breach può essere mitigato adottando i principi basilari della Sicurezza Preventiva. Hanno lo scopo e l'obiettivo di analizzare ed identificare la presenza delle vulnerabilità. Una attività che dovrebbe essere effettuata periodicamente, stiamo parlando di attività di Vulnerability Assessment e Network Scan. Stiamo parlando delle best parctice.
In generale il vero problema è che spesso, nella rincorsa del Nuovo si perde di vista il buono del nostro passato.
Il passato è un segnale di direzione, non un palo dove appoggiarsi. (Thomas Holcroft)