Un breach di Telefonica ha esposto i dati sensibili di milioni di clienti

L’incidente viene già considerato il più grave nella storia della Spagna e permetteva a chiunque di leggere le informazioni degli abbonati al servizio

Cambiare la parte finale dell’URL. Tanto bastava a chiunque fosse un cliente di Telefonica per leggere i dati e le informazioni personali degli altri. Questa la scoperta di un report diffuso dal portale spagnolo El Espanol, che ha puntato il dito contro le scarse misure di sicurezza di uno dei principali operatori telco del paese. Il giornale, probabilmente dietro consiglio di qualcuno, ha analizzato la questione, concludendo che davvero con un semplice trick, modificando una sezione univoca dell’indirizzo web di accesso alle fatture periodiche, si poteva sbirciare contenuti sensibili e peculiari, tra cui i numeri di rete fissa e mobile, quelli di identificazione nazionale, gli indirizzi, gli istituti di credito associati al contratto, nomi, cronologia di fatturazione e registri di chiamate. Tutte info da scaricare in formato CSV.

Cosa sappiamo

Sebbene ciò implicasse l’accesso a dati casuali, sarebbe stato possibile sviluppare un programma che raccogliesse informazioni in grandi quantità dai sistemi dell’operatore e quindi li analizzasse” – ha osservato El Espanol. Il breach è venutao alla luce dopo che un cliente di Movistar ha denunciato il gruppo spagnolo alla FACUA, in difesa dei diritti dei consumatori, definendo l’incidente come “la più grande violazione di sicurezza nella storia delle telecomunicazioni in Spagna”.

Responsabile nazionale dell’applicazione delle norme sul GDPR è la Spanish Agency for Data Protection (AEPD). In base al regolamento, Telefonica potrebbe dover pagare una sanzione pecuniaria tra i 10 e i 20 milioni di euro oppure tra il 2% e il 4% del fatturato annuale. Tuttavia, la legge sulla protezione dei dati in Spagna limita questo tipo di multe a una cifra che va dai 300 mila ai 600 mila euro.

Leggi anche:  Cybersecurity: la nuova ricerca promossa da Aruba definisce l’AI come l'arma decisiva nell'era dell'IoT