Data breach, Wind Tre dovrà avvertire 5mila clienti coinvolti

Wind Tre sarà tenuta a comunicare in forma scritta a oltre 5mila clienti d’aver subìto un attacco informatico lo scorso 21 marzo, che ha consentito di visualizzare e acquisire in chiaro le user id e le password necessarie per accedere ai loro profili online.

Wind Tre dovrà rispondere anche del rischio, cui ha esposto i suoi clienti, di furto di dati personali fra cui:

  • Nominativo
  • Codice fiscale
  • Numero di telefono
  • Indirizzo e-mail
  • Indirizzo fisico
  • Fatture degli ultimi sei mesi, per chi ne ha fatto richiesta.

Lo ha stabilito il Garante Privacy nel suo provvedimento n. 226 dell’11 maggio scorso, a tutela delle vittime di quell’attacco informatico, esposte a grave rischio di furto d’identità e di accessi non autorizzati ai dati personali.

Wind Tre ha precisato che la violazione è avvenuta “sul sistema informatico di selfcare tre.it proprietà di Wind Tre spa già H3G spa”, con la conseguente illecita visualizzazione ed acquisizione di credenziali contenute in un file contenenti i dati di 5.118 clienti (di cui 683 non più attivi).

Per 402 dei 5.118 clienti potrebbe anche essersi verificato un accesso non autorizzato all’area personale del sistema “Selfcare” di Tre (area clienti) nella quale è presente, tra l’altro, la loro anagrafica.

Non è certo quando il data breach sia avvenuto esattamente, se prima o dopo la chiusura della fusione fra Wind e Tre (chiusa a novembre 2016).

Data breach Wind Tre: quali rischi per le vittime?

Il Garante ha appurato che la generazione del file contenente i dati degli oltre 5mila clienti, divenuto oggetto del successivo attacco hacker, si era reso necessario per un intervento tecnico e per errore non era stato cancellato, come avrebbe dovuto essere, al termine dell’operazione.

Altra leggerezza da parte di Wind Tre è stata informare esclusivamente i 402 clienti per i quali era risultato un accesso alla propria area personale nelle ore in cui era in corso l’incidente, ritenendo che solo per essi potesse configurarsi un potenziale rischio di furto dati ed escludendo gli altri 5.000 clienti vittime del furto delle credenziali di accesso.

Il Garante ha invece ribadito che la sola acquisizione delle credenziali di accesso è di per sé fonte di potenziale pregiudizio, indipendentemente dal loro utilizzo illecito.

In altre parole, in caso di data breach l’azienda doveva avvertire tutti i clienti vittima del furto delle credenziali e non soltanto i 402 clienti per i quali risultava un accesso all’area personale.

Le medesime credenziali di accesso possono infatti essere utilizzate dai ladri di dati per accedere ad altri servizi online diversi, per i quali i clienti (non al corrente del data breach) abbiano deciso di usare le stesse credenziali di accesso scelte per il loro profilo Wind Tre.

Occorre tenere presente che, nel caso in cui la user id sia costituita dal numero telefonico del cliente (eventualità tutt’altro che rara), è purtroppo possibile per gli hacker recuperare in rete il nominativo dell’abbonato e accedere ad altri profili aperti a suo nome.