Gli hacker si sono fatti strada di nuovo nei sistemi di T-Mobile, la quarta violazione dei dati dell'azienda segnalata dall'inizio del 2020. Questa volta, il bottino includeva informazioni personali sensibili associate a circa 48 milioni di persone, la maggior parte delle quali erano ex o potenziali clienti del sedicente "non portatore".

Ecco una ripartizione di ciò che è successo, i rischi che potresti incontrare e come puoi proteggerti da essi.

Quali informazioni sono state acquisite?

Secondo la società, i dati rubati includevano nomi, date di nascita, numeri di previdenza sociale e informazioni sulla patente di guida. Nella maggior parte dei casi, la società ha affermato che "nessun numero di telefono, numero di conto, [numeri di identificazione personale], password o informazione finanziaria è stato compromesso". Tuttavia, ha rivelato T-Mobile, a circa 850.000 clienti con account prepagati sono stati scoperti nomi, numeri di telefono e PIN degli account.

Gli hacker hanno iniziato a mettere in vendita i dati lo scorso fine settimana, secondo il ricercatore di sicurezza Brian Krebs, il quale prevedeva che presto sarebbe stato tutto online.

Sebbene il numero potenziale di persone colpite sia enorme, secondo il conteggio di T-Mobile rappresenta meno della metà degli attuali 105 milioni di clienti dell'azienda. T-Mobile ha dichiarato che avviserà i clienti i cui dati sono stati esposti e fornirà gratuitamente due anni di servizio di protezione dal furto di identità dalla società di sicurezza McAfee.

Quali sono i rischi?

Ci sono state così tante violazioni dei dati in così tante aziende nel corso degli anni, alcuni esperti di sicurezza affermano che gran parte delle informazioni esposte da T-Mobile è probabilmente già disponibile sul dark web. Ma questo non significa che dovresti scrollarti di dosso quello che è successo. Coloro i cui dati sono stati esposti corrono maggiori rischi di furto di identità, truffe di phishing e altre forme di frode, ha avvertito Krebs.

I numeri di previdenza sociale sono ampiamente utilizzati dal governo federale, dalle banche, dalle società di investimento, dai programmi di benefici del governo e dagli assicuratori per verificare l'identità. Il tuo SSN rubato può essere utilizzato per aprire conti di carte di credito fraudolenti, deviare o riscuotere in modo fraudolento vantaggi e commettere frodi sul posto di lavoro, tra le altre forme di inganno. Inserisci il tuo nome, data di nascita e numero di patente ed è esponenzialmente più facile per qualcuno fingere di essere te.

I ladri di identità potrebbero utilizzare tali informazioni per prendere di mira sia te che le banche, gli assicuratori e le altre società con cui fai affari. Ad esempio, potrebbero utilizzarlo per rendere le e-mail di phishing più realistiche, aiutandoti a persuaderti a rinunciare a ulteriori informazioni sensibili come una password o un PIN. Oppure potrebbero usarlo per ingannare la tua banca facendogli cambiare la password del tuo conto, dando loro accesso al tuo denaro.

Per coloro i cui numeri di telefono sono stati scoperti, c'è almeno un'altra possibilità maligna:un attacco SIM-swap. È qui che qualcuno convince la tua compagnia di telefonia mobile a trasferire il tuo numero su un dispositivo diverso, che poi usa per cercare di entrare negli account che hai collegato al tuo numero di telefono. È sempre più comune che le persone utilizzino i propri numeri di cellulare per verificare la propria identità, ad esempio quando accedono al proprio conto bancario online o quando desiderano reimpostare la password. Ma questa comodità può ritorcersi contro se il tuo numero viene dirottato, quindi utilizzato per impersonarti online.

Come ti proteggi?

L'unica cosa migliore da fare è bloccare i file di credito, che impedirà a chiunque di aprire un nuovo account. È libero di posizionare un congelamento e di sollevarlo per le proprie esigenze. Ma devi contattare individualmente ciascuno dei tre principali uffici di credito, cosa che puoi fare online. Krebs suggerisce anche di congelare i file di credito gestiti da una manciata di agenzie specializzate più piccole. Dovresti anche controllare regolarmente il tuo punteggio di credito, che è un buon modo per rilevare una frode dopo che si è verificata.

I servizi di monitoraggio del credito e dell'identità, che in genere prevedono una tariffa mensile, possono anche aiutare a rivelare il lavoro dei ladri di identità. Forniscono strumenti per prevenire il phishing e altre forme di hacking combinati con servizi di scansione che cercano il tuo numero di previdenza sociale o indirizzo e-mail in luoghi online a cui non appartiene.

Nel frattempo, T-Mobile ha creato un sito Web che suggerisce più misure che le persone possono adottare per proteggersi dalle frodi. Chiunque abbia uno smartphone farebbe bene a prenderli:

• Crea un PIN per il tuo account di cellulare per fornire un ulteriore livello di sicurezza contro modifiche non autorizzate al tuo account, come uno scambio dannoso di SIM. Se sei un cliente T-Mobile e hai un PIN, impostane uno nuovo.
• Attiva la funzione di "protezione contro l'acquisizione di account" di T-Mobile, che offre un ulteriore livello di protezione oltre al PIN. Verizon va oltre, bloccando automaticamente gli scambi di SIM spegnendo sia il nuovo dispositivo che quello esistente fino a quando il titolare dell'account non si confronta con il dispositivo esistente.
• Cambia la password che utilizzi per accedere all'account del tuo cellulare online. La modifica periodica delle password è una buona pratica per tutti i tuoi account. E se hai problemi a ricordare dozzine di password, prova un'app di gestione delle password in grado di tenerne traccia per te.

Tra i lati positivi, l'autenticazione a due fattori sta diventando lo standard online e questo sta migliorando la sicurezza sul Web. Ma troppi siti ti incoraggiano a trasformare quel secondo fattore in un SMS sul tuo numero di telefono, il che incoraggia la frode dello scambio di SIM. Ove possibile, utilizza invece un'app di autenticazione.