Freedom Mobile: violazione dei dati espone 1,5 milioni di utenti

Il team di ricerca di vpnMentor ha recentemente scoperto che Freedom Mobile ha subito un’enorme violazione dei dati.

Guidati dagli hacktivisti Noam Rotem e Ran Locar, i ricercatori di vpnMentor hanno scoperto una violazione che espone i dati personali di fino a 1,5 milioni di utenti attivi Freedom Mobile. Freedom Mobile (in precedenza Wind Mobile) è il quarto fornitore canadese di telefonia mobile.

Il suo database era completamente non protetto e non criptato. I dati esposti includono numeri di carta di credito e codici di verifica (CVC/CVV).

Cronologia della scoperta della violazione e della reazione

• 17 Aprile: Scopriamo la perdita nel database di Freedom Mobile.
• 18 Aprile: Inviamo un’e-mail a Freedom Mobile per informare l’azienda di questa grave violazioni dei dati. Non riceviamo risposta.
• 23 Aprile: Riproviamo a entrare in contatto con Freedom Mobile.
• 24 Aprile: Freedom Mobile finalmente risponde ai nostri messaggi.
• 24 Aprile: Freedom Mobile risolve la violazione dei dati.

Esempi di voci nel database

Analogamente al database Elasticsearch non protetto di Gearbest, il database di Freedom Mobile era completamente non criptato. Abbiamo avuto pieno accesso a più di 5 milioni di registri, che corrispondono a 1,5 milioni di utenti.

Sembrerebbe che questi registri riflettano ogni azione intrapresa all'interno di un account utente, consentendo l'inserimento di più voci per cliente.

I dati personali esposti includono:

• indirizzi email
• numeri di casa e di cellulare
• indirizzi di casa
• date di nascita
• tipo di cliente
• Indirizzi IP collegati al metodo di pagamento
• numeri di carta di credito e codici CVC/CVV non criptati
• risposte di Equifax e altre società in merito al punteggio di credito, con i motivi dell’accettazione/rifiuto.

È stato inoltre possibile accedere ai numeri di conto, alle date di abbonamento, alle date del ciclo di fatturazione e ai dati del servizio clienti, comprese le ubicazioni degli utenti.

Alcune voci includevano anche dati di un database Equifax, che riportava informazioni sui punteggi di credito, classi di credito e conti delle carte di credito.

Impatto della violazione dei dati

Ironia della sorte, Freedom Mobile è orgogliosa di offrire alti livelli di privacy, come dichiara anche nella sua bio di Twitter:

Ciononostante, ha chiaramente condiviso, e in misura eccessiva, i dati dei propri clienti.

Dopo aver scoperto la violazione dei dati, abbiamo rapidamente allertato Freedom Mobile riguardo al problema. Non avendo ricevuto una risposta immediata, abbiamo chiesto ad un altro sito di sicurezza di aiutarci a contattare l’azienda, nel dubbio che le nostre e-mail finissero nella cartella spam. Dato che alla fine abbiamo ricevuto una risposta, sappiamo che non era questo il caso.

Per motivi etici, non abbiamo scaricato il database, quindi non sappiamo esattamente quante persone sono state coinvolte in questa violazione.

Tuttavia, è stato possibile accedere ad almeno 5 milioni di registri non protetti. Freedom Mobile possiede almeno 1,5 milioni di abbonati e la società madre è di proprietà della Shaw Communications, che conta più di 3,2 milioni di clienti in tutto il Canada. Questa potrebbe essere la più grande violazione subita da un’azienda canadese.

È raro imbattersi in una fuga di dati che include sia le informazioni sulle carte di credito che i codici CVC/CVV, soprattutto nel caso di una violazione di tale portata.

Poiché questa fuga di dati include informazioni non criptate sulle carte di credito dei propri clienti, è ben possibile che Freedom Mobile non sia in linea con gli standard di protezione PCI (Payment Card Industry). Ciò potrebbe portare a gravi ripercussioni nel mondo reale sia per l’azienda che per i suoi utenti.

I pericoli degli attacchi informatici

Un database completo di dati di carte di credito, date di nascita, nomi completi, indirizzi e numeri telefonici consente anche frodi su carte di credito e furti di identità. Ciò potrebbe costare centinaia di migliaia di dollari agli utenti, nonché alle loro banche e compagnie assicurative.

Un database non criptato contenente informazioni personali è una risorsa preziosa per gli hacker. L’accesso a indirizzi di casa, indirizzi e-mail, numeri di telefono e dati delle carte credito permette ad individui malintenzionati di mettere in atto sofisticati schemi di phishing.

Le informazioni sul credito consentono inoltre attacchi altamente mirati con virus di riscatto (ransomware), in quanto grazie ad esse questi criminali sanno a chi possono chiedere cifre elevate.

Anche l’utente più prudente non può difendersi da un’azienda che salva i propri dati su un database non protetto. Il modo migliore per proteggersi che abbiamo trovato è quello di collegare al tuo account una carta, un conto o un codice CVC/CVV temporanei. Leggi la nostra Guida completa per maggiori informazioni.

Chi siamo e report precedenti

VpnMentor è il più grande sito di recensioni VPN a livello globale. Il nostro laboratorio di ricerca è un servizio pro bono che cerca da una parte di aiutare la comunità online a difendersi dalle minacce informatiche, e dall’altra di educare le organizzazioni a proteggere i dati dei propri utenti.

Di recente abbiamo scoperto un’enorme violazione di dati che ha colpito 80 milioni di famiglie americane. Abbiamo anche svelato che Gearbest ha subito una grave violazione dei dati. Ti consigliamo di leggere anche il nostro report sulle perdite VPN e il report sulle statistiche di privacy dei dati.

Ti invitiamo a condividere questo report su Facebook  o Twitter.