Che sia un periodo nero per l'Italia, tra attacchi ransomware e data breach, è ormai assodato: nelle ultime settimane, oltre al famigerato caso della Regione Lazio, sono state vittime di cyber attacchi anche Erg e Webuild/ Salini (la nuova Impregilo). A metà Agosto invece è stata l'ARS, l'azienda regionale sanitaria della Toscana, a subire un attacco ransomware: le conseguenze sono state la distruzione di una ingente mole di dati epidemiologici e statistici, ma la presenza dei backup ha permesso di recuperarne la gran parte, mentre la diffusione del malware è stata intercettata e bloccata.  

Alla lista si è aggiunta, la scorsa settimana, anche Tim. L'azienda di telecomunicazioni ha infatti inviato qualche giorno fa, ad un primo gruppo di clienti, una comunicazione nella quale avvisa di di aver subito un data breach. In dettaglio, la comunicazione spiega che Tim ha individuato attività anomala ad opera di terzi non autorizzati sui propri server: tale attività anomala è stata riscontrata nell'ambito delle normali verifiche di sicurezza sui sistemi aziendali. Insomma, qualcuno è entrato nei server della TIM e ha messo le mani sui dati in esso contenuti, sopratutto su quelli relativi alle aree di accesso personale di MyTim, anche di ex clienti.

Non è chiaro il numero totale di clienti riguardati dall'evento e neppure la tipologia di dati compromessi: alcuni dati, come quelli anagrafici e le password, potrebbero essere stati violati, mentre TIM rassicura sul fatto che non sono stati compromessi i dati di pagamento. TIM ha anche fatto sapere di aver immediatamente bloccato gli account compromessi e di essere a lavoro per risolvere la falla che ha consentito l'accesso ai server.

Come prima misura di sicurezza per gli utenti, l'azienda ha comunicato di aver proceduto a disabilitare in via precauzionale le credenziali MyTim e di aver reso obbligatorio il cambio password al primo accesso all'area privata dal proprio portale. Contestualmente è stata inviata comunicazione al Garante, ma è stata presentata anche formale denuncia alla Polizia Postale: le indagini dovranno chiarire l'accaduto e verificare se le misure di sicurezza approntate da TIM siano sufficienti o se, al contrario, l'attacco sia dipeso anche da responsabilità dell'azienda.

Il caso data room
La domanda adesso è come siano riusciti gli attaccanti a mettere mano ai dati TIM: l' "attività anomala" rilevata dall'azienda è stata opera di terzi esterni? O magari è (di nuovo) colpa di qualche "interno"?

Non sarebbe infatti la prima volta: nel Febbraio 2020 TIM aveva individuato e denunciato alla Polizia Postale una serie di attività anomale nei propri server e nella propria rete (denuncia NON collegata agli eventi recenti). Le indagini della Polizia Postale avevano quindi portato alla luce un business illegale di dati dei clienti di una serie di compagnie telefoniche italiane, TIM compresa. L'operazione, denominata "Data Room", aveva portato alla luce un complesso mercato nero di dati che alcuni dipendenti infedeli sottraevano alle aziende per rivenderli a numerosi gestori di call center: scopo del gioco, contattare gli utenti e proporre loro contratti con diversi operatori (risultati tutti estranei ai fatti) sfruttando eventuali disservizi, così da poter guadagnare dalle commissioni.

Questa la comunicazione completa inviata dall'azienda: invitiamo tutti i clienti TIM iscritti a MyTim e servizi correlati, ad effettuare l'accesso e modificare la password di accesso. La stessa operazione è da ripetere per tutti gli account e servizi che hanno in uso la stessa password.

Gentile Cliente,

desideriamo informarti che, a fronte delle attività di controllo di sicurezza sui nostri sistemi, sono state rilevate attività anomale, svolte da parte di soggetti terzi ignoti, che potrebbero mettere a rischio la riservatezza delle tue credenziali di accesso a MyTIM.

Per tua tutela e per garantire la sicurezza delle tue informazioni, stiamo provvedendo a disabilitare in via precauzionale le tue credenziali MyTIM, utilizzate anche per l’accesso ad alcuni servizi TIM correlati (TIM Party, TIM Personal), rendendo obbligatorio il cambio password al primo accesso all’Area privata MyTIM, da effettuare al seguente indirizzo https://mytim.tim.it/auth/recupero-password.html

Se hai già provveduto a modificare la password successivamente alla disabilitazione, ti consigliamo di valutarne la struttura ai fini di una maggiore sicurezza e nel caso di eseguire la procedura di modifica della stessa in occasione del prossimo accesso a MyTIM ed alla tua casella di posta elettronica. Al riguardo, riteniamo opportuno raccomandarti di non utilizzare più la vecchia password, né una simile, nonché di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online, qualora coincidente o simile a quella precedentemente utilizzata su MyTIM. Con l’occasione ti ricordiamo, quali misure idonee a prevenire abusi o frodi, di custodire accuratamente e non divulgare mai sul web le credenziali di autenticazioni a portali o sistemi, utilizzare password “strutturate” (es. composte da numeri, lettere maiuscole e minuscole, caratteri speciali) da cambiare periodicamente, di fare attenzione ad azioni di phishing, di aggiornare periodicamente il software sul tuo PC e cellulare e di utilizzare un Antivirus.

La compromissione delle credenziali di autenticazione potrebbe infatti comportare l’accesso da parte di terzi a servizi online ai quali ti sei registrato, con conseguente perdita di controllo sui tuoi dati personali, possibile acquisizione fraudolenta di informazioni che ti riguardano o anche eventuali situazioni di furto di identità.

Di tale evento, conformemente alla normativa vigente (art. 33 del Regolamento UE 2016/679, il c.d. GDPR), abbiamo inviato formale notifica anche al Garante privacy.

Ci riteniamo in questo caso parte lesa come i nostri Clienti, e ci riserviamo di far valere i nostri interessi e diritti in ogni sede.

Ti informiamo che per ogni esigenza in merito puoi contattarci al nostro Servizio Clienti 187.

Arrivederci da TIM