È di pochi giorni fa la notizia di un clamoroso data breach passato in sordina, mentre l’attenzione globale era rivolta all’emergenza Covid-19. Questa volta sono le dimensioni a fare paura: i dati di oltre 115 milioni di utenti di telefonia mobile pakistani sono stati messi in vendita sul dark web. È quanto ha scoperto la società mediorientale Rewterz – Information security che ha trovato in vendita quella enorme mole di dati in formato CSV al prezzo di 300 bitcoin, pari a circa 2,1 milioni di dollari.
Il Leak riguarda dati accumulati sui server di compagnie telefoniche fin dal 2013. Le anagrafiche rubate includono i dati personali degli utenti, come il nome completo, l’indirizzo, ovviamente i loro numeri di cellulare e di linea fissa, le date di abbonamento, il codice fiscale nonché il loro codice NIC, acronimo di Computerized National Identity Card che, al pari del SSN americano, viene utilizzato per le più disparate funzioni: votare alla elezioni, aprire conti correnti bancari ed ivi effettuare operazioni, prendere la patente, acquistare biglietti, allacciare le utenze domestiche o il numero di telefono, perfino per entrare al College.
Gli analisti di Rewterz hanno potuto constatare che tutti i dati estrapolati siano veri: i dettagli dei soggetti giuridici corrispondevano a quelli pubblicati nelle pagine web delle rispettive società, ed anche le identità dei soggetti pakistani sono tutte vere.
L’origine è ancora ignota, sebbene i dati si riferiscano principalmente all’operatore di telefonia mobile Jazz, ex Mobilink, il fatto che siano stati trovati dati anche di altri operatori telefonici fa scartare l’ipotesi che i questi siano stati sottratti dai server della compagnia Jazz.
Sul furto in ogni caso è stata immediatamente avviata un’indagine sia da parte della Pakistan Telecommunication Authority (PTA) che, su esplicita richiesta del presidente della Commissione Affari Interni del Senato di trovare prove del data breach, della Federal Investigation Agency (FIA)
Sebbene Amir Azeem Bajwa, presidente della PTA abbia prudentemente dichiarato “Ci sono molteplici segnalazioni che stiamo ricevendo durante la nostra indagine e dalle poche affermazioni che stanno emergendo pare si tratti di dati vecchi”, il problema è grave.
Gli stessi esperti di Rewterz ,della divisione sulle minacce in rete, ritengono che la portata di questa violazione sollevi interrogativi sulla sicurezza dei dati e sulla privacy delle società di telecomunicazioni. Se tali dati possano essere il risultato di più violazioni o di una singola violazione, al momento è troppo presto per dirlo. Non è inoltre chiaro se uno specifico operatore di telecomunicazioni o tutti gli operatori di telecomunicazioni in Pakistan siano caduti vittima di questo attacco. Tuttavia, se si fosse verificata una violazione, avrebbe dovuto essere divulgata per conoscenza del cliente. Potrebbe essere possibile che queste società di telecomunicazioni non abbiano rivelato la violazione perché non sono a conoscenza dell’hack o hanno intenzionalmente deciso di non rivelare…gli interrogativi sono tanti, come tanti, forse troppi, gli utenti la cui riservatezza dei dati non è stata adeguatamente tutelata.
