Bug 3 Italia - Permette l'accesso non autorizzato a dati personali di tutte le utenze

[elmad]

Ho appena letto Furto di dati personali Area Clienti 3 Italia: 5118 clienti a rischio privacy
Violazione di dati personali nel settore dei servizi telefonici - 11 maggio... - Garante Privacy
ed https://www.key4biz.it/data-breach-c...nvolti/191820/

L'incidente descritto nella notizia è posteriore e del tutto autonomo rispetto alla mia scoperta. Il bug che ho trovato non richiedeva alcun tipo di hacking, nemmeno l'utilizzo di credenziali e potenzialmente permetteva di consultare qualsiasi utenza.
Ovviamente non ho collezionato nessun dato ed ho segnalato direttamente alla H3G grazie all'interessamento di un vs utente tramite il quale sono riuscito ad avere un contatto telefonico con il servizio di sicurezza informatica.

Evidentemente qualcun altro ha pensato di far peggio...

Senza accusare alcuno, ma è periodo di agitazioni e problemi in 3 a quanto si vede, avrei una domanda...

Mi chiedevo se questo data breach è passato un po' sminuito o ce ne sono stati altri. Io non ho ricevuto nessuna comunicazione da 3, quindi in teoria la mia utenza non dovrebbe essere stata interessata dal data breach, corretto?

In ogni caso, sono arrivato qui, perché oggi, per la prima volta nella mia vita, mi sono arrivati addebiti non autorizzati sulla mia carta di credito. Subito bloccata, denuncia fatta, credo che andrà tutto a posto.

Però mi chiedevo come questi "hacker" hanno ottenuto i dati della mia carta di credito. Non l'ho utilizzata di recente, ho controllato tutti i siti che ho utilizzato in passato per acquisti online, e nessuno aveva salvato la carta come metodo di pagamento, oltre ad utilizzare servizi terzi (tipo banca sella, ect...).

Questa carta aveva un unico addebito autorizzato: H3G. Ora, mi sembra un'ipotesi remota, è pur sempre una grossa azienda, ma leggendo queste cose... non è che i dati della mia carta sono stati trafugati a H3G?

E' una cosa tecnicamente possibile? Chiedo perché non so come funziona tecnicamente l'addebito mensile cdc.

Ripeto che non accuso nessuno, mi chiedo solo se la cosa è teoricamente possibile. In ogni caso, fosse così, si verrebbe a sapere, perché non sarei solo io ad aver subito questo inconveniente, ma migliaia di persone.

[lumassaril]

Senza accusare alcuno, ma è periodo di agitazioni e problemi in 3 a quanto si vede, avrei una domanda...

Mi chiedevo se questo data breach è passato un po' sminuito o ce ne sono stati altri. Io non ho ricevuto nessuna comunicazione da 3, quindi in teoria la mia utenza non dovrebbe essere stata interessata dal data breach, corretto?

In ogni caso, sono arrivato qui, perché oggi, per la prima volta nella mia vita, mi sono arrivati addebiti non autorizzati sulla mia carta di credito. Subito bloccata, denuncia fatta, credo che andrà tutto a posto.

Però mi chiedevo come questi "hacker" hanno ottenuto i dati della mia carta di credito. Non l'ho utilizzata di recente, ho controllato tutti i siti che ho utilizzato in passato per acquisti online, e nessuno aveva salvato la carta come metodo di pagamento, oltre ad utilizzare servizi terzi (tipo banca sella, ect...).

Questa carta aveva un unico addebito autorizzato: H3G. Ora, mi sembra un'ipotesi remota, è pur sempre una grossa azienda, ma leggendo queste cose... non è che i dati della mia carta sono stati trafugati a H3G?

E' una cosa tecnicamente possibile? Chiedo perché non so come funziona tecnicamente l'addebito mensile cdc.

Ripeto che non accuso nessuno, mi chiedo solo se la cosa è teoricamente possibile. In ogni caso, fosse così, si verrebbe a sapere, perché non sarei solo io ad aver subito questo inconveniente, ma migliaia di persone.

Della falle che ho segnalato io, non credo sia possibile acquisire tali dati in quanto permettevano la consultazione dei dati in areaclienti3.
Ti consiglio di fare una denuncia agli organi preposti. Se più utenti H3G lamentano addebiti non autorizzati sulla carta è probabile che verifichino eventuali responsabilità oggettive della compagnia.