Alcuni dati degli utenti iscritti all'app dell'Azienda Trasporti Milanesi (Atm) sono stati trafugati in seguito a un attacco informatico. A comunicarlo la stessa azienda, che ha informato i propri iscritti della violazione, avvenuta lo scorso 5 aprile. L'obiettivo? I dati degli utenti, conservati nei sistemi di Mooney Servizi Spa, la società responsabile del trattamento dei dati personali di chi usufruisce dei servizi di Atm. Si tratta di un'azienda specializzata nella gestione dei pagamenti e dei servizi connessi alla mobilità locale: oltre che con Atm, lavora con decine di aziende del settore, tra cui Tua S.p.A. (Trasporto Unico Abruzzese) e il Consorzio UnicoCampania, responsabili rispettivamente delle app Tuabruzzo e UnicoCampania. 

Cos'è successo

Lo scorso sabato 5 aprile, come comunicato da Mooney Servizi, si è verificato un attacco informatico. Nello specifico la violazione ha interessato un altro fornitore della complessa filiera: è stato infatti attaccato l'archivio ospitato da Wiit Spa, il quale conserva i dati di aziende clienti di Mooney Servizi/MyCicero, dove sono archiviati anche i dati degli iscritti all'app Atm. I dati sono stati copiati attraverso un sistema di archiviazione non autorizzato, ovvero un cloud esterno.

La società ha comunicato di aver tempestivamente isolato i propri sistemi per proteggerli da ulteriori tentativi di accesso non autorizzato. Tuttavia i malintenzionati sono riusciti a sottrarre dati anagrafici degli iscritti, i contatti e altri dati presenti nel profilo dei clienti. Ovvero nome, cognome, indirizzo e-mail, numeri di telefono ed eventuali titoli di mobilità. C'è però una buona notizia. Nessun dato di pagamento, dati di carte di credito o credenziali di accesso e indirizzi di domicilio o residenza sarebbero stati sottratti. 

Rischi e conseguenze

Atm, dal canto suo, ha richiesto a Mooney Servizi «una reportistica aggiornata e dettagliata su tutte le misure di sicurezza intraprese per rispondere all'attacco». Inoltre, ha comunicato di avere «rafforzato la sicurezza nell'accesso ai sistemi Atm da parte degli enti terzi autorizzati». Come previsto dalle normative, Atm ha infine notificato la violazione al Garante della Privacy e all'Agenzia per la cybersicurezza nazionale. Nel corso delle verifiche, gli utenti potrebbero aver sperimentato difficoltà nell'accedere all'applicazione. 

Violazioni simili non sono rare. Che cosa rischiano adesso gli abbonati e tutti coloro che avevano un'app Atm, Tuabruzzo e UnicoCampania attive? I propri dati di contatto potrebbero essere utilizzati per e-mail fraudolente o altri utilizzi malevoli. Gli utenti potrebbero essere contattati con la richiesta di ulteriori informazioni personali, per telefono (vishing) per sms (smishing) o per email (phishing). Il tentativo potrebbe consistere nell'utilizzo dei dati (ora) conosciuti, come ad esempio quelli anagrafici, per persuadere l'utente a fornire ulteriori elementi attraverso l'ingegneria sociale. O ancora, semplici (ma fastidiosi) messaggi e chiamate di spam.  Quel che è bene tenere a mente è che, come ribadito da Atm, l'azienda non utilizza i dati di contatto dei propri iscritti ottenere ulteriori informazioni.  Cosa fare se si è iscritti all'app, dunque? Meglio fare attenzione a chiamate sospette ed e-mail che richiedono informazioni troppo dettagliate.