TIM vittima di attacco, sottratti dati di accesso di alcuni clienti. Ecco cosa è successo

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/telefo...so_100051.html

TIM ha rilevato attività anomale, svolte da ignoti, che potrebbero mettere a rischio la riservatezza delle credenziali di accesso a MyTIM. L'azienda sta provvedendo a contattare gli utenti coinvolti ma esclude la compromissione delle informazioni sensibili legate ai pagamenti.

Click sul link per visualizzare la notizia.

[Vindicator]

se riescono a bucare i server di una multinazionale come tim siamo messi proprio bene....

non dovrebbe neanche succedere essendo compagnie telefoniche con milioni di dati incluse carte di credito eccetera

[capodistria]

le carte di credito non le ha tim, quindi le carte di credito non sono incluse

[yeppala]

Fiondatevi tutti quanti a cambiare le password di qualsiasi cosa sia collegato alla Telecom!

[Tasslehoff]

C'è ben di peggio delle carte di credito, Tim è uno degli IDP Spid, ma sembra che la cosa non interessi a nessuno nonostante il fatto che questo dia accesso a tutti i dati più sensibili e privati dei cittadini che si sono registrati presso di loro.

Non mi pare di aver letto indiscrezioni in merito a una compromissione del repository utenti di Spid, però sappiamo tutti che in questi casi le informazioni vengono divulgate col contagocce e sempre con molta cautela per non spaventare gli investitori.
D'altro canto il fatto che una attacco abbia sortito effetti non è molto incoraggiante, soprattutto se pensiamo a un movimento laterale all'interno della loro infrastruttura.

[Opteranium]

Quote:

Originariamente inviato da Tasslehoff

C'è ben di peggio delle carte di credito, Tim è uno degli IDP Spid, ma sembra che la cosa non interessi a nessuno nonostante il fatto che questo dia accesso a tutti i dati più sensibili e privati dei cittadini che si sono registrati presso di loro.

Ecco ma un furto di spid come si può rimediare? Se ti rubano o contraffanno il documento di identità digitale, con il quale si presuppone ti identifichi su internet, immagino siano dolori.. si dovrà annullarlo e crearlo da capo?

[Tasslehoff]

Quote:

Originariamente inviato da Opteranium

Ecco ma un furto di spid come si può rimediare? Se ti rubano o contraffanno il documento di identità digitale, con il quale si presuppone ti identifichi su internet, immagino siano dolori.. si dovrà annullarlo e crearlo da capo?

Di preciso non lo so, come del resto non lo sa nessuno nel senso che ogni procedura relativa alla sicurezza è un mistero, al di la di una dichiarazione con cui gli identity providers si impegnano a rispettare tutte le più scrupolose norme e best practice di sicurezza, non si sa nulla; è chiaro che per noi (utenti finali) questa dichiarazione vale meno della carta su cui sta scritta.
Per capirci ad oggi non mi risulta vi sia la minima traccia di un audit di sicurezza i cui risultati siano stati resi pubblici, non si sa nulla su come gli idp conservano le credenziali, quali prodotti usano, quali misure adottano, niente, l'utente finale deve solo fidarsi e ringraziare di tanta meraviglia

Le conseguenze di una compromissione sarebbero catastrofiche, di fatto l'accesso ad ogni dato personale e sensibile e i service provider (ovvero gli enti che erogano i servizi federati con spid) potrebbero far poco o nulla; in teoria ogni servizio che usa spid dovrebbe essere censito da Agid, di fatto sono talmente tanti che credo qualsiasi misura su di essi sia impossibile.

Penso che l'unica misura possibile sia a livello di singolo idp compromesso, con cambio password e key TOTP.

[mcarry81]

sono cliente da meno di 1 mese, ho appena verificato l'accesso e per questa volta l'ho sfangata...

[Unrue]

Quote:

Originariamente inviato da Opteranium

Ecco ma un furto di spid come si può rimediare? Se ti rubano o contraffanno il documento di identità digitale, con il quale si presuppone ti identifichi su internet, immagino siano dolori.. si dovrà annullarlo e crearlo da capo?

https://www.trend-online.com/diritto...o%20on%20line.


Ad ogni modo, se hai attiva la 2FA, non è che ci facciano molto.

[pabloski]

Quote:

Originariamente inviato da Vindicator

se riescono a bucare i server di una multinazionale come tim siamo messi proprio bene....

non dovrebbe neanche succedere essendo compagnie telefoniche con milioni di dati incluse carte di credito eccetera

Se conoscessi il livello infimo della cybersicurezza di queste multinazionali ( e no, per una volta l'Italia non ha il primato in negativo ), non ti meraviglieresti affatto.

Se poi invece di assumere cazzari che hanno fatto un pò di pentest e sanno scrivere resoconti di centinaia di pagine, pieni di riferimento legislativi, assumessero ex hacker, le cose andrebbero decisamente meglio.

[pabloski]

Quote:

Originariamente inviato da Tasslehoff

....

Ma LOL

"Me searching in Windows Event Viewer"

Ed è utilissimo pure per la persistenza

[Thalon]

Non mi sorprenderei nemmeno se non ci fosse nessun fantomatico hacker ma fosse tutto un inside job o quasi: già in passato è capitato che gente nei call center che operano in subappalto per tim fottesse dati e poi li rivendesse al mercato nero (per tale motivo ad esempio sul numero fisso assegnato alla mia vdsl ricevo chiamate di spam anche se quel numero non l'ho mai comunicato a nessuno e nel foglio privacy ho chiesto a tim di non trasmettere a terzi i miei dati e di non usarli mai per fini promozionali).

[frncr]

Quote:

Originariamente inviato da Opteranium

Ecco ma un furto di spid come si può rimediare? Se ti rubano o contraffanno il documento di identità digitale, con il quale si presuppone ti identifichi su internet, immagino siano dolori.. si dovrà annullarlo e crearlo da capo?

SPID non è propriamente un documento di identità, in sostanza è un servizio che permette di autenticarti su altri servizi online tramite delle credenziali di accesso certificate, e in alcuni casi anche di apporre una firma digitale. Se ti rubano le credenziali, fai come in tutti gli altri analoghi casi: le cambi e in questo caso fai anche una denuncia per pararti il culo da eventuali usi da parte di terzi prima del cambio stesso. Gli utenti sono comunque forzati a cambiare la loro password periodicamente (almeno Lepida fa così).
Lo SPID ha 3 livelli di sicurezza: il primo ha solo password perciò è piuttosto vulnerabile, ad esempio al phishing, il secondo livello ha anche OTP perciò diventa più difficile (ti devono rubare il telefono o clonare la SIM), il terzo livello ha anche un hw per la firma digitale (smart card o token USB) perciò ti dovrebbero rubare anche quello.
SPID è praticamente l'implementazione italiana del regolamento eIDAS.

Nel caso venisse compromesso un Identity Provider, il danno potrebbe essere il furto di tutti i dati personali degli utenti e la compromissione di tutte le identità di livello 1, ma entrambe le eventualità dipendono dal fatto che i dati possano essere decifrati dagli attaccanti (che siano archiviati in chiaro sarebbe surreale).

[Opteranium]

Quote:

Originariamente inviato da frncr

SPID non è propriamente un documento di identità

mah, se non lo è gli somiglia molto. A ben guardare vorrebbe sostituire i vari CNS, tessera sanitaria, PIN e compagnia per la pubblica amministrazione, ma probabilmente non solo, se vai in banca penso tu possa aprire un conto con lo spid

Quote:

Originariamente inviato da frncr

ma entrambe le eventualità dipendono dal fatto che i dati possano essere decifrati dagli attaccanti (che siano archiviati in chiaro sarebbe surreale).

non mi stuipsco più di nulla e non sarebbe neanche la prima volta, da quel punto di vista

[frncr]

Quote:

Originariamente inviato da Opteranium

mah, se non lo è gli somiglia molto.

Non è un documento di identità nel senso che non c'è un documento fisico, qualcosa che si può esibire, smarrire, rubare o falsificare. Tecnicamente è una "identità digitale" che ti permette proprio di non mandare ogni volta la copia di un documento di identità per provare all'interlocutore remoto di turno che tu sei tu, perché la verifica dell'identità viene fatta una volta per tutte dal fornitore del servizio (Identity Provider) ed è poi lui che certifica la tua identità (e volendo la tua firma) ai terzi.
Lo SPID nelle mani dell'utente si riduce a delle credenziali (nome utente e password), oltre al dispositivo di firma solo per il 3° livello.
Se vogliamo vedere, l'identità digitale è più sicura perché se ti rubano la password, anche se hai solo il primo livello, la cambi e nessuno la potrà più usare; invece se smarrisci o ti rubano la carta di identità è più complicato perché anche se fai la relativa denuncia rimane comunque in mano a qualcuno un documento di identità autentico e apparentemente valido, che può essere usato da delinquenti in vari modi.

E' anche vero che il tuo Identity Provider in alcuni casi deve conservare copia (crittografata ovviamente) del documento di identità che hai usato per richiedere il servizio, perciò esiste una possibiltà perlomeno teorica che questo documento venga rubato, anche se solo in immagine.

In ogni caso un documento di identità e un'identità digitale sono cose diverse con scopi e funzioni diverse, anche se la carta di identità elettronica si sovrappone in parte allo SPID perché anch'essa può funzionare come strumento di autenticazione online.

Per approfondimento sul funzionamento dello SPID si possono consultare i manuali operativi dei vari provider, ad esempio questo: https://www.agid.gov.it/sites/defaul...ativo_spid.pdf

PS: no in banca ti chiedono un documento di riconoscimento, così come te lo chiede il carabiniere che ti ferma per strada (la patende di guida vale anche per quello)

[Tasslehoff]

Quote:

Originariamente inviato da frncr

SNIP

Nel caso venisse compromesso un Identity Provider, il danno potrebbe essere il furto di tutti i dati personali degli utenti e la compromissione di tutte le identità di livello 1, ma entrambe le eventualità dipendono dal fatto che i dati possano essere decifrati dagli attaccanti (che siano archiviati in chiaro sarebbe surreale).

In realtà la violazione di un idp può portare alla compromissione anche delle identità di livello 2.
Non ho dati certi in merito agli idp che usano gli SMS (ma tendenzialmente la logica sarà simile, con in più l'aggravante della fragilità del mezzo con cui viene trasmesso il codice OTP), ma per gli altri le app non sono altro che generatori di codici TOTP tali e quali alle tante app che si trovano online, solo ottusamente chiusi per forzare gli utenti ad usare la propria app (rastrellare dati fa sempre comodo...) anzichè altro (Google Authenticator, FreeOTP o anche un password manager con plugin TOTP incorporato).
Quindi in caso di compromissione nulla vieterebbe ad un attaccante che viene in possesso della pre-shared key di generare tutti i codici OTP di cui ha bisogno a prescindere dall'utente.

Se a questo aggiungi che le notifiche di login vengono inviate dallo stesso soggetto il cerchio si chiude, insomma tutti i fattori di autenticazione risiedono presso un unico soggetto (idp), che è anche quello deputato a notificarti l'avvenuta login.


Chiaramente se fosse attiva l'autenticazione di livello 3, l'unica paragonabile come livello di sicurezza a CNS/CIE la questione sarebbe ben diversa.
Ma a quel punto subentrerebbero tutti quei problemi logistici (uno su tutti: avere con se il token) e software (drivers etc etc) per cui tanti maledicono CRS/CNS, e per certi versi CIE.

Insomma non si scappa, se si vuole avere un livello di sicurezza adeguato alla criticità di quei dati è necessario avere fattori di autenticazione di natura diversa (dato su un db/ldap/iam di un idp E dispositivo fisico in possesso solo dell'utente), ma questo verrebbe vissuto dal grosso del pubblico come una regressione rispetto all'idilliaco mondo di SPID, dove basta salvare tutto sullo smartphone o sul browser e ci si può autenticare dappertutto.
Ancora una volta la sicurezza è stata messa in secondo piano per evitare alla gente di accendere il cervello.

[giovanni69]

Riguardo l'altro data breach di settembre 2021, qui su Hwupgrade.it è stato pubblicato qualcosa?

L'email che si riceve è la seguente: