Alla fine della scorsa settimana l'operatore di telefonia mobile e fornitore di servizi Internet Free ha rivelato di essere stato bersaglio di un massiccio furto di dati da parte di un hacker che ora afferma di aver rivenduto i dati personali di 19,2 milioni di clienti di cui 5 milioni di IBAN.
L'hacker che ha messo in vendita i dati personali di 19,2 milioni di clienti Free ha annunciato di averli venduti, ha confermato all'AFP un esperto di sicurezza informatica questo mercoledì 30 ottobre 2024.
Dati acquistati per 160.000 €
Secondo un messaggio pubblicato online su un forum dedicato, il file è stato acquistato per la cifra di 175.000 dollari (circa 160.000 euro, ha detto all'AFP Damien Bancal, esperto di sicurezza informatica e autore del blog zataz.com.
Contattata dall'AFP, Free non ha voluto commentare.
Il furto di dati, denunciato a metà ottobre, è stato confermato da Free. L'operatore di telefonia mobile e fornitore di accesso ha iniziato venerdì a contattare via e-mail i clienti interessati, informando di essere stato “vittima di un attacco informatico contro uno strumento di gestione” che “ha provocato l'accesso non autorizzato a parte dei dati personali associati ai conti di alcuni abbonati”.
Nome, nome, email, indirizzo, IBAN…
Secondo l'hacker i dati in questione contengono soprattutto nomi, nomi, indirizzi e-mail e postali, data di nascita dei clienti nonché il loro Iban (numero di conto bancario internazionale) per 5,1 milioni di essi. Non è coinvolta alcuna password o carta di credito.
L'IBAN è un identificativo bancario che hai utilizzato per pagare un abbonamento o un servizio.
“Questo identificatore può in alcuni casi consentire a un hacker di emettere ordini di addebito diretto illegittimi che prendono di mira IBAN ottenuti in modo fraudolento. L'hacker può anche, più direttamente, usurpare l'IBAN di un'altra persona comunicandolo durante la creazione di un mandato di addebito diretto nell'ambito di un abbonamento a un servizio”, precisa la CNIL (Commissione nazionale per l'informatica e le libertà).
Per ridurre i rischi di sfruttamento fraudolento del tuo IBAN e minimizzarne le conseguenze:
- Monitora regolarmente le transazioni nel tuo conto bancario e, se necessario, presentare opposizione. In caso di dubbi, rivolgiti al tuo consulente bancario abituale
- Consulta l'elenco dei creditori autorizzati (cioè i beneficiari degli addebiti diretti) nella tua area bancaria online
- Al ricevimento di un mandato di addebito diretto precompilato o di un presunto aggiornamento dello stesso, fare attenzione alle informazioni che descrivono il creditore al fine di evitare l'appropriazione indebita dei tuoi pagamenti
Qual è la procedura da seguire?
Sebbene gli addebiti derivanti da IBAN rubati rimangano difficili, esistono modi per aggirare queste restrizioni.
L'Osservatorio sulla sicurezza dei mezzi bancari raccomanda di “controllare regolarmente” il pagamento e di “aggiornare l'elenco dei crediti autorizzati o vietati nel proprio spazio bancario online”.
Una contestazione di addebito diretto può essere effettuata “al più tardi entro 13 mesi dalla data di addebito”, precisa la Federazione bancaria francese, termine “ridotto a 70 giorni quando lo stabilimento del beneficiario del pagamento si trova al di fuori dell'Unione europea o del paese Spazio economico europeo.
Infine, è necessario prestare particolare attenzione ai tentativi di phishing via e-mail o telefono, non fornire una password e non convalidare alcuna transazione bancaria su richiesta di un consulente.
Strumenti per verificare se i tuoi dati sono trapelati
Per conoscere più nel dettaglio i passaggi da seguire, le informazioni sono disponibili sul sito cybermalveillance.gouv.fr.
Tuttavia, come ricorda Actu Forces de l'ordre, il sito “Have I been pwed” è uno strumento molto spesso utilizzato per verificare se un indirizzo e-mail è stato interessato da una fuga di dati.
In tal caso, verrai avvisato dal sito che ti dirà che il tuo indirizzo email è compromesso, i siti interessati e che tipo di informazioni sono trapelate.
Puoi anche passare direttamente dalle impostazioni del tuo account Google: per verificare, clicca su “Account” dopo aver cliccato su “Google Apps” poi clicca su “Sicurezza” e scendi nel “Report Dark web”.