Databreach Unicredit: un accesso non autorizzato ai dati di tre milioni di clienti italiani

  1. Home
  3. Magazine
  5. Databreach Unicredit: un accesso non autorizzato ai dati di tre milioni di clienti italiani
Magazine
Databreach subito da Unicredit

Il Data breach subito da Unicredit

Anche il sottoscritto, insieme a tanti altri clienti di Unicredit, in questi giorni è stato raggiunto da una missiva della Banca che comunica di aver subito un data breach.

In una lettera ricevuta personalmente a casa, datata Milano 28.10.2019, la banca mi comunica che è stato individuato un accesso non autorizzato ad alcuni dati relativi ai clienti Unicredit, tra cui i miei dati. Il comunicato esplicita che i dati in questione, che risalgono al 2015, sono esclusivamente di carattere anagrafico ed in particolare riguardano nome e cognome, comune e provincia di riferimento, numero di telefono cellulare, indirizzo email. Viene precisato che non sono stati compromessi altri dati personali, tra cui le coordinate bancarie, i pin di accesso ed in particolare, non sono state coinvolte credenziali di accesso o dati di carte di credito, di debito o altri strumenti di pagamento.

Sembrerebbe quindi non si tratti di un data breach sui dati normalmente più appetibili a possibili hacker, per promuovere un’azione immediata nel tentare subito delle transazioni fraudolente a discapito dei clienti della banca.

Il fatto però di sapere che i miei dati personali, tra cui il numero di cellulare, sono finiti nelle mani di chissà quale malintenzionato, piuttosto che resi disponibili in uno dei tanti database acquistabili on line su Internet, per quanto Unicredit cerchi di essere rassicurante nella sua comunicazione, non mi lascia affatto tranquillo e mi stupisco che in nessun punto della comunicazione l’Istituto non porga almeno le sue scuse su quanto successo. Unicredit sfrutta questa comunicazione per evidenziare il suo impegno nel garantire la protezione dei dati della propria clientela ed a tal riguardo, vengono elencati una serie di processi messi in atto al fine di rafforzare la garanzia di sicurezza citando alla fine anche una APP da utilizzare dal proprio Smartphone per una nuova modalità di conferma sicura basata sulle notifiche push.

A tal riguardo la domanda nasce spontanea … Quanto può essere valido quest’ultimo sistema se il data breach subito dalla banca ha comportato il furto di identità di persone associate a numeri di cellulare?

Se l’APP di Unicredit è installata su uno smartphone dove la relativa SIM ha un numero conosciuto ed associabile al mio nome e cognome / indirizzo di casa, quanto posso sentirmi sicuro sul fatto che qualcuno non si appropri di tale numero e possa deviare gli sms verso un dispositivo per usi malevoli? Non sarebbe la prima volta che un delinquente informatico, grazie ad un social hacking, triangolasse gli sms della banca rispetto agli sms effettivi ricevuti dal cliente ignaro. Nella comunicazione il cliente non viene erudito sulle tempistiche ovvero pur dicendo che i dati in questione risalgono al 2015, non viene spiegato a quando risale il data breach? C’è una conferma nella quale si afferma di essere intervenuti immediatamente e di aver adottato tutte le azioni necessarie nonché viene data piena disponibilità a rivolgersi alla banca attraverso un numero verde dedicato. Purtroppo come tante altre banche, non è la prima volta che Unicredit subisce un data breach, vedi anche i 2 grossi attacchi messi a segno nel 2018 ed ivi riportati anche nel sito dell’Authority Italiana ai seguenti iperlink:

Provvedimento su data breach – 28 marzo 2019 [9104006]

Provvedimento su data breach – 13 dicembre 2018 [9076378]

Nota di merito in questa comunicazione della banca quella, di riportare nel retro della comunicazione un decalogo di sicurezza sui comportamenti da tenere da parte dell’utente, nella speranza che non sia la banca stessa ad essere “bucata”, li riporto sotto aggiungendo qualche consiglio dovuto all’esperienza in materia:

  • Cambiare frequentemente il PIN imparandolo a memoria senza condividerlo con nessuno o, aggiungo, nel caso abbiamo diverse decine di profilazioni, utilizzare una valida APP di password manager che come minimo dovrà avere la caratteristica di tenere i dati sotto cifratura e di consentirne l’accesso solo dopo la digitazione di una chiave (questa sì) da imparare assolutamente a memoria.
  • Non utilizzare lo stesso PIN per altri servizi
  • Creare un PIN sicuro attraverso le solite policy (lunghezza minima, evitando richiami alla persona, cambio pin periodico, etc.)
  • Evitare il salvataggio delle password sul browser
  • Nel dispositivo utilizzato per l’accesso digitale alla banca avere sempre attivo un valido sistema antimalware aggiornato, così com’è assolutamente opportuno tenere sempre aggiornati i sistemi operativi e le applicazioni installate sui ns. dispositivi
  • Assolutamente da adottare la metodologia della password usa e getta generata con un token fisico, ne esistono anche software denominati mobile token installabili come APP sullo smartphone o direttamente dalla banca con un push via sms (magari con una validità temporale molto limitata)
  • Non inserire mai le proprie password su pagine raggiunte tramite link o allegati su email
  • Eliminare qualsiasi email sospetta, le banche non chiedono mai codici o password via email né tantomeno comunicano via email problemi di sicurezza da risolvere collegandosi a siti che poi inevitabilmente risultano malevoli.
  • Non lasciare mai i propri dispositivi mobili incustoditi in aree pubbliche
  • Utilizzare la funzione di blocco schermo con temporalità molto strette (30 sec.)
  • Cambiare spesso il codice di accesso dei propri dispositivi
  • Eliminare le informazioni riservate dai dispositivi, prima di qualsiasi intervento di assistenza o manutenzione eseguita da terzi  
  • Non custodire informazioni finanziarie sui dispositivi (soprattutto quelli mobili) come numeri di carte di credito, password di accesso, pin, etc.
  • Conservare qualsiasi carta di credito/debito/ricaricabile etc. con tecnologia contact less su apposita custodia di metallo. Non dimentichiamoci che la ns. carta può essere letta in chiaro anche ad 80 mt. di distanza usando antenne con una forte amplificazione.
  • Fare attenzione dovunque si utilizzi la propria carta che non siano presenti “occhi indiscreti” pronti a carpirci il pin digitalizzato, in alcuni casi anche con telecamere nascoste. Mentre digitiamo il pin abituiamoci ad usare l’altra mano per nascondere i numeri digitati.

Luigi Pedrotta

Luigi Pedrotta
CEO Socio Fondatore
Lan & Wan Solutions

Articolo precedente
Security Managed Service – Protezione globale contro i rischi informatici
Articolo successivo
Siamo pronti per lo smart working?