Approfondiamo ulteriormente il discorso sul data breach avvenuto ai danni dei clienti Ho.Mobile
Come vi abbiamo già detto ho avuto la possibilità di parlare con la persona che sta vendendo l’intero database di Ho.Mobile.
Durante l’intervista ho voluto approfondire e verificare ulteriormente se il leak fosse reale o meno. Come già scritto in precedenza, sono stati già esposti i dati di 10 persone scelte casualmente. Il mio dubbio era che tali dati potevano essere stati recuperati grazie ad altri data breach, oppure le persone (che hanno confermato la veridicità di quei dati) potevano essere complici.
Ho verificato su haveIbeenpwnd.com ed ho scoperto che 6 di questi account erano effettivamente già stati compromessi. Così, ho voluto effettuare una prova definitiva. Possiedo personalmente una SIM presente in Ho.Mobile da giugno 2019 collegata ad un indirizzo email non utilizzato online. Ho chiesto quindi al mio contatto di fornirci il record nel leak relativo a quel numero.
Il mio contatto mi ha risposto con tutte le informazioni, ed effettivamente queste si sono rivelate corrette. Compreso l’ICCID, che serve per fare una eventuale portabilità della SIM.
Di conseguenza ciò conferma la veridicità del data breach, o almeno al 99.9%. Perché?
Il fatto che sia riuscito a restituirmi altri dati corretti di un’utenza scelta in modo arbitrario da me è una prova molto forte che ne attesta la veridicità. Faccio un esempio, mettiamo il caso che il leak fosse di molti meno utenti, facciamo 10.000. La possibilità che la nostra utenza sia trovasse tra quelle 10.000 teoriche è pari solamente allo 0.004%. Un numero talmente basso che non può essere solo una coincidenza il fatto che la mia utenza sia presente in quei dati.
Un’altra ragione, più soggettiva, per cui credo che il leak sia reale è che a venderlo è direttamente l’admin del forum. Un utente quindi in vista che gode di moltissime recensioni positive e che vende anche altri prodotti, su un forum molto famoso (ed affidabile) per la compravendita di questo genere di prodotti illegali. Se il leak dovesse rivelarsi una truffa la credibilità dell’admin e del forum stesso ne risentirebbe pesantemente, e a loro non conviene.
Ho comunque indagato ulteriormente (nei limiti della legalità, poiché non ho comunque l’autorizzazione a fare ricerche ulteriori da parte di Ho.Mobile) e ho scoperto che all’interno dell’area riservata dell’operatore è presente un endpoint pubblico che restituisce esattamente tutti i dati dell’utente presenti nel leak.
Tale richiesta viene fatta con un customerID, probabilmente incrementale, ed è autenticata con un cookie, LEANFESESSIONID. È plausibile che gli hacker abbiano trovato il modo di raggirare l’autenticazione e poi abbiano iniziato a dumpare tutti gli utenti partendo da un customerID 0 ed andando avanti incrementando il valore. L’unica parte strana di questa storia è che Ho.Mobile non abbia notato delle richieste insolite che hanno estratto, probabilmente, 2.5 milioni di record. Programmatori di Ho.Mobile, se state leggendo, date un’occhiata a questo endpoint!
Nel frattempo sembra che Ho.Mobile abbia iniziato a bloccare le portabilità. Che sia il primo passo per l’ammissione delle loro colpe?