Vodafone Australia nell’occhio del ciclone, per quella che potrebbe concorrere ad essere una delle fughe di dati sensibili più clamorose degli ultimi anni. Milioni di dati personali di utenti Vodafone Australia sembra siano stati infatti intercettati nel web, nelle mani sbagliate, a disposizione di possibili malintenzionati.

Tutti i giornali australiani stanno in queste ore riportando la notizia, sottolineando come oltre dodici mila persone siano già sul piede di guerra, pronti ad una class action che ha tutto il sapore di un’amara sconfitta per la multinazionale della telefonia mobile.

Alla base della fuga di dati è probabilmente qualche dealer al quale è stata sottratta la password di accesso al database – oppure è stata volutamente condivisa, questo sarà tutto da accertare.

Ciò che ha dell’incredibile è però come la società sembra gestisse i dati sensibili di tutti i suoi clienti. Tutti i dati sono registrati in un database liberamente raggiungibile da Internet, accessibile tramite un’autenticazione da una pagina web protetta. Un database, insomma, potenzialmente aperto a tutti.

Un database al quale potevano accedervi tutti gli impiegati autorizzati e i vari dealer tramite qualsiasi computer poiché non situato in una rete interna Vodafone, ma semplicemente interrogabile via una form web sicura.

Il Sunday Morning Herald riporta addirittura un particolare inquietante: alcuni dealer hanno rivelato come spesso venga chiesto di condividere i propri dati di accesso per qualche genere di favore.

E, a quanto sembra, tutti i dealer che vendono prodotti Vodafone ottengono la password di accesso al database. Con l’accesso completo è possibile avere visione di tutti i dati personali dei clienti, effettuare modifiche, visualizzare bollette telefoniche e molto altro.

Riuscire ad intercettare password nei PC è un gioco da ragazzi tramite malware, gli attacchi man-in-the-browser sono delle tipologie di attacchi che vediamo applicate quotidianamente. E il fatto che il database sia raggiungibile da qualsiasi PC tramite internet significa che lo stesso PC utilizzato dai vari dealer può collegarsi direttamente ad internet, una politica di sicurezza fortemente opinabile se il terminale è utilizzato per trattare dati sensibili e dati personali.

Tutto ciò sta avvenendo ora in Australia.

La domanda che rivolgo pubblicamente, da cliente Vodafone, alla Vodafone Italia e ai loro dealer è la seguente: i dati personali e sensibili dei clienti Vodafone dove sono situati? Sono accessibili da Internet tramite qualche pagina web? Hanno i vari dealer accesso a questi dati?

Vodafone Italia dovrebbe chiarire questi punti al più presto, o rischia purtroppo di rimanere anch’essa vittima dell’onda d’urto generata dal terremoto australiano.