Per farla breve, ho scoperto che uno dei sistemi che la tre utilizza per fornire dettagli sull'utenza, non verificava per nulla che le credenziali fossero congrue con il numero di cui si richiedevano informazioni. Da qui l'arbitrarietà dei dati che era possibile richiedere.
La cosa ancora più grave è che ero riuscito a trovare pure un meccanismo che senza alcuna autenticazione permetteva comunque di richiedere questi dati, ed il sistema allegramente le ritornava. Condite il tutto con connessioni tramite sistemi di anonimizzazione e capirete che bel pasticcio.

Adesso è stato tutto patchato. Se avete malfunzionamenti usando qualche sistema è sicuro che sono parti che erano vulnerabili e che non sono state ancora sistemate, ma solo bloccate in emergenza.

Una cosa talmente banale da 1° elementare di sicurezza informatica... Imbarazzante! Credeteci o no, ma è così. Per non so quanto tempo chiunque poteva fare qualsiasi cosa con le vostre utenze. Simpatico no?