Nei giorni scorsi ho visto, casualmente un articolo di giornale che parlava di una perdita di dati di un servizio che io utilizzo per acquistare biglietti. L’articolo pubblicato sabato 12 aprile 2025 ore 05:30 e lo riporto per non perderlo. Da quanto si apprende l’attacco è avvenuto tra 29 e il 30 marzo.
Pubblicato il 12.05.2025 (link)
Hacker rubano i dati dei clienti della Mom: in ballo nomi, indirizzi e telefono di 30mila abbonati. «Cambiate password»
Attacco hacker ai danni di Mom per rubare i dati dei passeggeri. L’intromissione nei sistemi avvenuta tra la fine di marzo e l’inizio di aprile non ha solo causato il blocco temporaneo della vendita di biglietti e abbonamenti attraverso l’App e i sistemi online. Dopo aver violato la piattaforma MyCicero, gestita da una società esterna, i pirati informatici hanno messo nel mirino anche i dati degli oltre 30mila abbonati di Mom: nome e cognome, data di nascita, codice fiscale, indirizzo e numero di telefono. Si temeva che avessero potuto entrare in possesso anche dei singoli riferimenti delle carte di credito e di debito usate per comperare i ticket online. A riguardo, comunque, va specificato che la società esterna ha formalmente comunicato a Mom «che non sono stati coinvolti i dati bancari». Resta il fatto che gli stessi dati anagrafici hanno un valore tutt’altro che secondario. Come possono essere usati? Oltre ai casi di richiesta di riscatto per restituirli, innanzitutto vendendoli a chi porta avanti azioni di marketing aggressivo attraverso spam e telefonate di call center di venditori. Se finiscono nelle mani sbagliate, poi, c’è anche il rischio di ritrovarsi sotto attacco phishing, cioè di ricevere una raffica di mail contenenti link farlocchi ideati per rubare credenziali di accesso ancora più sensibili: password e informazioni bancarie. Senza dimenticare il furto d’identità e tutto ciò che ne consegue: dalla diffamazione sui social fino a pesanti reati commessi usando il nome di un altro. Al momento non è chiaro quanti e quali dati potrebbero essere stati rubati. «Non ci sono riscontri a riguardo», specificano da Mom. Fatto sta che ieri la società del trasporto pubblico locale ha messo in guardia tutti i clienti che utilizzano l’App. (1)
L’attacco hacker contro i server si è verificato tra il 29 e il 30 marzo. Alla luce di questo, il sistema per la vendita di biglietti e abbonamenti online era stato messo temporaneamente fuori uso fino alla mattina del primo aprile, pur a singhiozzo, per consentire ai tecnici di verificare la dimensione falla sotto il profilo della sicurezza. Il 4 aprile, di seguito, il fornitore ha comunicato a Mom il furto dei dati dei clienti: «Si è verificata una esfiltrazione non autorizzata di dati verso un cloud remoto». Tradotto: sono stati presi e registrati su una nuvola informatica (una memoria esterna su internet). Sono stati esposti al furto i dati anagrafici dei clienti. Così come i loro contatti personali. Mentre i dati bancari sarebbero rimasti al sicuro. In tutto ciò, si suggerisce a tutti di cambiare la password dell’account Mom. Si tratta della precauzione minima, visto che gli hacker ora potrebbero esserne in possesso. «Il fornitore ci ha comunicato che, oltre alle misure adottate per contenere la violazione e attenuarne gli effetti, sono state adottate misure tecniche e organizzative volte a prevenire il ripetersi di violazioni analoghe – è il punto fatto dalla società trevigiana del trasporto pubblico locale – come sempre, per maggior sicurezza consigliamo di prestare particolare attenzione a e-mail di phishing, messaggi e chiamate sospette o altre richieste di informazioni personali e, in via del tutto precauzionale, di modificare la password dell’account». Intanto i controlli non si fermano: «Siamo in costante contatto con il fornitore per monitorare l’esito degli accertamenti e per assumere ogni ulteriore iniziativa che si renda necessaria per mitigare i possibili effettivi di quanto verificatosi». Mom ha anche messo a disposizione una mail per rispondere a eventuale richieste di chiarimenti: privacy@mobilitadimarca.it.
Le multe elevate nei giorni di mancato funzionamento dell’App restano confermate. Nello specifico, Mom sta valutando come muoversi con chi è stato sanzionato per essere salito a bordo di un bus o di una corriera senza biglietto proprio nel periodo in cui il sistema per la vendita dei ticket era inaccessibile. Ma per il resto non ci sono dubbi. «Si è trattato di un problema temporaneo: c’è stato un rallentamento della piattaforma – ha chiarito il presidente Giacomo Colladon – ma dalle 9.15 del primo aprile tutto ha ripreso a funzionare normalmente. Di conseguenza, mentre valuteremo come gestire eventuali multe fatte prima, chi si è visto elevare una sanzione dopo le 9.15 del primo aprile deve sapere che non può che essere confermata».
Considerazioni: (1) in che modo? Sull’app non c’è traccia e sul sito è apparso un messaggio tardivo. Nel sito mobilitadimarca.it e nei social non c’è traccia di informazione.
Vorrei sottolineare la posizione “Le multe elevate nei giorni di mancato funzionamento dell’App restano confermate.”
Nel sito all’interno delle news e senza alcun rilievo in home page (quindi l’informazione va cercata) c’è la news 394 nella pagina mobilitadimarca.it/news/394/comunicazione-agli-utilizzatori-della-nostra-app che è apparsa solo il 10 aprile 2025 (ovvero 6 giorni dopo essere stati informati) che riporto di seguito.
MOM 10-04-2025 (link)
COMUNICAZIONE AGLI UTILIZZATORI DELLA NOSTRA APP
Gentile Cliente,
il nostro fornitore di servizi di App-mobile ticketing MY CICERO ci ha informato che, tra il 29 e il 30 marzo, si è verificata una violazione di dati personali originatasi a seguito di attività malevola condotta da attori esterni non identificati, perpetuata sui server utilizzati dal fornitore stesso.
Il sistema è stato reso inaccessibile per un periodo di tempo limitato al fine di consentire le opportune verifiche e azioni di sicurezza, per questo potresti aver riscontrato dei malfunzionamenti o dei rallentamenti dell’App nei giorni scorsi.
Inoltre il fornitore in data 04/04/25 ci ha comunicato che si è verificata una esfiltrazione non autorizzata di dati verso un cloud remoto.
I dati potenzialmente esposti alla conoscenza da parte di terzi non autorizzati sono quelli anagrafici (nome, cognome, sesso, data di nascita, luogo di nascita, codice fiscale) e quelli di contatto (indirizzo postale o di posta elettronica, numero di telefono fisso o mobile).
Il fornitore ha comunicato che non sono stati invece coinvolti i dati bancari.
Il fornitore ci ha anche comunicato che, oltre alle misure adottate per contenere la violazione e attenuarne gli effetti, sono state adottate misure tecniche e organizzative volte a prevenire il ripetersi di violazioni analoghe.
Come sempre, per tua maggior sicurezza ti consigliamo di prestare particolare attenzione a e-mail di phishing, messaggi e chiamate sospetti o altre richieste di informazioni personali e, in via del tutto precauzionale, di modificare la password dell’account.
Siamo in costante contatto con il fornitore per monitorare l’esito degli accertamenti e per assumere ogni ulteriore iniziativa che si renda necessaria per mitigare i possibili effettivi di quanto verificatosi.
Ci rammarichiamo per l’evento comunicatoci e, per qualsiasi relativo supporto / informazione, puoi contattarci all’indirizzo mail privacy@mobilitadimarca.it
Sarà comunque nostra premura fornirti ogni utile aggiornamento.
L’applicazione della società di trasporti è gestito da myCicero il quale segnala nel suo sito da qualche giorno:
Gentile Cliente,
vogliamo informarti di una violazione di dati personali che ha coinvolto il nostro fornitore di servizi informatici.
La trasparenza e la fiducia nei confronti dei nostri clienti sono per noi di estrema importanza ed è per questo che ci teniamo a condividere quanto accaduto.
Cos’è successo?
Nei giorni scorsi il nostro fornitore di servizi ci ha informati di una violazione di dati personali originatasi a seguito di attività malevole condotte da attori esterni non identificati, perpetuata sui nostri server. Da quel momento abbiamo proceduto, con la massima urgenza, per determinare la natura e la portata di questo evento.
Il sistema è stato reso inaccessibile per un periodo di tempo limitato al fine di consentire le opportune verifiche e azioni di sicurezza, per questo potresti aver riscontrato dei malfunzionamenti o dei rallentamenti nelle nostre App nei giorni scorsi.
Cosa significa?
Soggetti terzi non autorizzati, nonostante i rigidi parametri di sicurezza con cui vengono trattati, potrebbero essere entrati a conoscenza di alcuni tuoi dati personali.
Quali dati sono stati coinvolti?
Sulla base delle informazioni raccolte i dati potenzialmente esposti potrebbero includere nome, cognome, indirizzo e-mail, numeri di telefono ed eventuali titoli di mobilità, ove acquistati.
Non sono invece stati compromessi i dati di accesso e i dati finanziari e relativi alle modalità di pagamento, nonché le tue password.
Nessun furto di carte di credito o di pagamento è stato realizzato, in quanto questi dati non sono ospitati sui nostri sistemi.
Cosa puoi fare?
Per tua maggior sicurezza, ti consigliamo, come sempre, di prestare particolare attenzione a email sospette e messaggi di phishing, o strane richieste di informazioni personali.
Ricorda che nessuno dei nostri incaricati ti contatterà mai telefonicamente e/o da indirizzi email non aziendali per proporti servizi o chiederti informazioni.
Quali sono le probabili conseguenze della violazione dei dati personali accaduta?
Il rischio più probabile è il ricevimento di messaggio SPAM contenenti offerte di beni o servizi non desiderati. I tuoi dati potrebbero anche essere utilizzati per inviarti email di phishing o comunque volti a carpire tue informazioni personali. Potresti anche ricevere telefonate o SMS da soggetti che potrebbero conoscere il tuo nome e cognome, e che ti potrebbero proporre l’acquisto di beni o servizi, ovvero richiederti altri dati personali.
Quali misure sono state adottate per porre rimedio e per attenuarne i possibili effetti negativi?
Il nostro fornitore ha adottato misure tecniche e organizzative immediate, tra cui il blocco temporaneo dei sistemi coinvolti ed ha condotto analisi sugli accessi non autorizzati. Si è proceduto alla bonifica delle infrastrutture impattate e ad incrementare la sicurezza dei nostri sistemi.
Sono inoltre in corso attività di rafforzamento delle policy di accesso, verifica delle credenziali e miglioramento dei sistemi di monitoraggio degli accessi anomali.
Per attenuare i potenziali effetti negativi sugli interessati, è stato attivato un canale diretto di assistenza, che potrà fornirvi indicazioni puntuali su come riconoscere ed evitare tentativi di phishing o altre forme di frode informatica.
A chi ti puoi rivolgere per avere maggiori informazioni?
Il titolare ha ritenuto opportuno definire un punto di contatto per farti avere maggiori informazioni.
Puoi contattarci, direttamente via email all’indirizzo contattoprivacy@mycicero.it
Il nostro DPO può essere contattato all’indirizzo dpo@mycicero.it
Come utente registrato non ho mai ricevuto alcuna email per informami dei dati rubati, di come operare e quali precauzioni sono state prese successivamente. Ma mi chiedo perché i dati non fossero criptati.
Aggiornamento del 13 aprile 2025 (link) – Rubati i dati anche di ATM
Aggiornamento del 13 aprile 2025 (link)
L’attacco hacker contro la società esterna che gestisce l’App di Mom ha messo a repentaglio la sicurezza dei dati di 30mila abbonati. E ora per questi il primo rischio, come conferma la stessa MyCicero, è di ricevere una valanga di spam, telefonate per la vendita di beni e servizi non desiderati e di finire in una rete dove chi conosce già nomi e cognomi potrebbe cercare di ottenere altre informazioni personali. «Non abbiamo ancora riscontri sull’entità del possibile furto di dati – dicono da Mom – siamo in costante contatto con il fornitore per monitorare l’esito degli accertamenti e per assumere ogni ulteriore iniziativa che si renda necessaria per mitigare i possibili effetti di quanto verificatosi». L’azienda dei bus prova a serrare i ranghi.
I dati degli abbonati sottratti riguardano nome e cognome, data di nascita, codice fiscale, indirizzo e numero di telefono. Mom è finita al centro di una maxi operazione lanciata contro diverse aziende di trasporto. Stessa sorte è toccata, tra gli altri, ad Atm, l’azienda del trasporto pubblico di Milano, Busitalia, società delle Ferrovie, e così via. I pirati sono riusciti a mettere le mani sui dati delle persone che usano l’App violando l’archivio ospitato da Wiit Spa, “cassaforte” online che contiene le informazioni delle aziende clienti delle piattaforme di mobile ticketing Mooney Servizi e MyCicero. Su carte di credito, bancomat e altri sistemi digitali di pagamento, invece, arrivano rassicurazioni. «Il fornitore ha comunicato che non sono stati invece coinvolti i dati bancari», specifica Mom. Così come non sono stati sottratti dati dei lavoratori.
Tra fine marzo e inizio aprile diversi clienti si erano lamentati per l’impossibilità di comperare biglietti e di rinnovare gli abbonamenti mensili attraverso l’App. «Abbiamo evidenziato il problema raccogliendo le segnalazioni degli autisti», spiega Stefano Bergamin Fit Cisl. Ieri è emerso che era stata la stessa società esterna a isolare i propri sistemi proprio per impedire altri tentativi di accesso hacker.
Insomma, l’effetto dell’attacco non si è limitato a un semplice disservizio. Per quanto riguarda Mom, lo stop del sistema online è andato avanti fino alle 9.15 del primo aprile. La società trevigiana ha già chiarito che le multe elevate dopo questo orario ai passeggeri trovati a bordo senza biglietto restano valide. Sul furto di dati, invece, ci si muove con i piedi di piombo.
I possibili rischi per i clienti sono indicati dalla società di MyCicero: «Il rischio più probabile è il ricevimento di messaggi spam contenenti offerte di beni o servizi non desiderati – specificano – i dati potrebbero anche essere utilizzati per inviare mail di phishing o comunque volti a carpire informazioni personali. Si potrebbero anche ricevere telefonate o sms da soggetti che potrebbero conoscere nomi e cognomi e che potrebbero proporre l’acquisto di beni o servizi o richiedere altri dati personali». Senza dimenticare il possibile furto d’identità e tutto ciò che ne consegue. L’azienda che gestisce l’App ha provato subito a correre ai ripari.
«Il nostro fornitore di servizi informatici ha adottato misure tecniche e organizzative immediate, tra cui il blocco temporaneo dei sistemi coinvolti, e ha condotto analisi sugli accessi non autorizzati – chiariscono – si è proceduto alla bonifica delle infrastrutture impattate e a incrementare la sicurezza dei sistemi. Sono inoltre in corso attività di rafforzamento delle policy di accesso, verifica delle credenziali e miglioramento dei sistemi di monitoraggio degli accessi anomali». Ed è stato attivato un canale diretto di assistenza per ridurre i potenziali effetti negativi, tra truffe informatiche e forme di phishing, cioè la ricezione di mail contenenti link farlocchi ideati per rubare credenziali di accesso ancora più sensibili.
Aggiornamento del 14 aprile 2025 (link)
Attacco hacker a Mooney: rubati dati delle app ATM, Unico Campania e Tuabruzzo
Due attacchi informatici distinti ma riconducibili a un’unica infrastruttura tecnologica hanno esposto i dati personali di migliaia di utenti delle app ATM, Tuabruzzo e UNICO Campania. Anche Busitalia Veneto sarebbe stata coinvolta. A essere colpito è stato infatti Mooney Servizi/MyCicero, il fornitore tecnologico comune incaricato della gestione dei sistemi digitali per la mobilità urbana in numerose città italiane.
La società, specializzata nella gestione dei pagamenti e dei servizi connessi alla mobilità di prossimità, è attiva per conto di decine di aziende del settore, tra cui ATM (Azienda Trasporti Milanesi), TUA S.p.A. (Trasporto Unico Abruzzese) e il Consorzio UnicoCampania, responsabili rispettivamente delle app ATM, Tuabruzzo e UnicoCampania. Considerata l’ampia base di clienti gestita dalla piattaforma, non è escluso che nei prossimi giorni possano arrivare comunicazioni analoghe anche da parte di altre realtà collegate.