Hacker ignoti hanno attaccato il sistema online di controllo degli ordini Telecom Italia per ottenere l'accesso ai dati personali di clienti dell'ex monopolista di telefonia. Nome, cognome, indirizzo, numero di telefono, e-mail, codice fiscale di utenti che hanno acquistato prodotti e servizi Telecom sono l'obiettivo dell'aggressione, insieme alla tipologia e allo stato d'avanzamento degli ordini. Telecom sta procedendo presso l'autorità giudiziaria per conoscere i responsabili.
Gli attacchi sono avvenuti sfruttando una vulnerabilità, ora risolta, nelle pagine Web che permettono di controllare online lo stato degli ordini effettuati sui siti www.187.it e www.aliceadsl.it. Il problema è stato scoperto il 10 marzo scorso dall'azienda di sicurezza Ants SpA e segnalato direttamente a Telecom. Il 5 aprile, la stessa Telecom ha comunicato ad Ants di aver tappato il buco. Le intrusioni sono avvenute in questo lasso di tempo.
"Sono stati tentati degli abusi sul sistema di accesso al sito che gestisce gli ordinativi online", ha confermato Telecom Italia a Repubblica.it. "Si tratta di azioni illegali, a fronte delle quali l'azienda sta procedendo presso l'autorità giudiziaria per conoscere l'identità dei responsabili". La compagnia di telecomunicazioni ha precisato che gli attacchi non hanno provocato danni al sistema e che non si segnalano problemi da parte degli utenti.
"Nel database oggetto degli attacchi non erano contenuti dati, ad esempio numeri di carta di credito, in grado di infliggere danni economici diretti agli utenti", spiega Telecom. "L'addebito per prodotti e servizi acquistati dai nostri clienti avviene direttamente in bolletta".
A portare avanti le aggressioni potrebbero essere stati hacker senza una finalità precisa, oppure spammer a caccia di nominativi e indirizzi. Il problema, infatti, era tale da esporre anche i dati di chi, ad esempio, si fa attivare una nuova linea e chiede di essere escluso dall'elenco telefonico per motivi di privacy.
"Quando un cliente Telecom acquista un prodotto o un servizio", spiegano ad Ants, "viene dotato di un codice d'ordine e di una password che gli consentono di seguire online lo stato della pratica". Un difetto nel sistema di controllo permetteva di forzare la password. Per entrare in possesso dei dati di un cliente era necessario conoscere il suo numero d'ordine. "Ma questi codici vengono assegnati in maniera sequenziale", dichiarano i tecnici di Ants. "Partendo da uno è possibile ottenere tutti gli altri". Secondo l'azienda milanese, la falla poteva essere sfruttata in automatico, creando un software in grado di estrarre dal database i dati di tutti i clienti. In un documento prodotto da Ants si parla di ordinativi risalenti fino al 2001.
La vulnerabilità che affliggeva il sistema di Telecom, tecnicamente nota come "Sql Injection", è un tipo di falla molto comune. "Per chi è pratico di problemi di sicurezza", spiegano quelli di Ants, "è facile trovarla e testarla. Di solito, infatti, colpisce i siti minori". L'ex monopolista ha spiegato che la vulnerabilità era un problema temporaneo, provocato da una transizione del sistema.