WindTre, il Garante sanziona due data breach: esposti i dati di 365mila clienti

17 Luglio 2026 - 11:25
0

Il Garante Privacy ha sanzionato WindTre per oltre un milione e 700mila euro a causa di due violazioni di dati avvenute a pochi giorni di distanza presso due punti vendita dell’operatore. Il caso riguarda degli accessi a una web application usata dalla rete commerciale, ottenuti attraverso tecniche di ingegneria sociale.

Secondo il provvedimento che risale a maggio (ma è stato reso pubblico dal Garante solamente adesso), gli attaccanti hanno contattato telefonicamente gli addetti dei negozi fingendo di aver bisogno di assistenza tecnica, riuscendo così a ottenere l’accesso remoto ai dispositivi. Nel primo episodio sono state effettuate 66 ricerche nel database e sono stati esposti i dati di 23 clienti. Il secondo episodio è stato decisamente più grave: sono state eseguite circa 2 milioni di ricerche aumentando progressivamente l’identificativo cliente, con esposizione dei dati di oltre 365mila persone. Le informazioni ottenute dagli attaccanti riguardavano dati anagrafici e di contatto. Di oltre 41mila persone venivano esposti anche dati relativi al metodo di pagamento, tra bollettino postale, IBAN o carta di credito con numeri parzialmente oscurati e data di scadenza della stessa.

Il Garante ha contestato a WindTre carenze nella gestione dei certificati digitali, delle credenziali e dei controlli sulle API. In particolare, secondo l’Autorità, certificati e chiavi private avrebbero dovuto essere protetti con soluzioni più sicure. Anche le API più esposte avrebbero dovuto essere protette meglio, con rate limiting, controlli anti-bot e test mirati. WindTre ha sostenuto di avere già delle misure di sicurezza, tra cui autenticazione a tre fattori, captcha, firewall, tracciamento delle attività, blocco degli accessi notturni e monitoraggio delle consultazioni. Dopo gli attacchi l’operatore ha revocato i certificati dei punti vendita coinvolti, inviato alert alla rete vendita, abbassato le soglie captcha, introdotto rate limiting sulle API a rischio, resettato le password e avviato attività di formazione e controlli per fronteggiare le tecniche di ingegneria sociale.


CLICCA QUI PER CONTINUARE A LEGGERE

Qual è la tua reazione?

Mi piace Mi piace 0
Antipatico Antipatico 0
Lo amo Lo amo 0
Comico Comico 0
Wow Wow 0
Triste Triste 0
Furioso Furioso 0
Redazione

Redazione Eventi e News

Commenti (0)

User