ShinyHunters rivendica la violazione di Odido: 21 milioni di record esposti

Il famigerato gruppo di estorsione ShinyHunters ha rivendicato la responsabilità di una violazione dei dati ai danni di Odido, uno dei maggiori fornitori di telecomunicazioni dei Paesi Bassi. Sebbene Odido avesse inizialmente dichiarato che circa 6,2 milioni di clienti erano stati colpiti al momento della comunicazione della violazione, il 12 febbraio, ShinyHunters afferma ora di essere riuscito a sottrarre quasi 21 milioni di record utente — una cifra che, se confermata, renderebbe questo uno degli episodi di violazione nel settore delle telecomunicazioni più significativi nella storia olandese.

Questo episodio è un duro promemoria del fatto che anche grandi aziende affidabili, dotate di ingenti budget destinati alla sicurezza, possono essere compromesse — e che i vostri dati personali sono sicuri soltanto quanto il sistema più debole che li custodisce.

Cosa è successo a Odido?

Stando alla comunicazione di Odido, il 7 febbraio 2025 degli aggressori hanno ottenuto accesso al sistema di contatto con i clienti dell'azienda. Da lì, sono riusciti a scaricare i dati personali di una parte considerevole della base clienti del fornitore. Odido ha segnalato l'incidente all'Autorità olandese per la protezione dei dati e ha coinvolto esperti di sicurezza informatica per contenere i danni e indagare sulla portata effettiva dell'intrusione.

I dati potenzialmente esposti in questa violazione sono numerosi e di natura strettamente personale:

Non si tratta di semplici informazioni di contatto — è il tipo di dati che consente il furto di identità, attacchi di phishing mirati, SIM swapping e frodi finanziarie. L'inclusione di IBAN e dati identificativi, in particolare, eleva considerevolmente il livello di rischio.

Chi sono gli ShinyHunters?

ShinyHunters è un gruppo criminale informatico ben consolidato, con una lunga storia di furti di dati e attività estorsive di alto profilo. Il gruppo ha in precedenza rivendicato violazioni ai danni di grandi aziende in molteplici settori e spesso vende o diffonde i dati rubati quando le richieste di estorsione non vengono soddisfatte. Il loro coinvolgimento suggerisce che non si è trattato di un attacco opportunistico — era deliberato, mirato e condotto con l'intento di monetizzare i dati sottratti.

La discrepanza tra i 6,2 milioni di clienti colpiti inizialmente dichiarati da Odido e la rivendicazione di quasi 21 milioni di record da parte di ShinyHunters è significativa. Potrebbe riflettere metodi di conteggio diversi, la presenza di voci duplicate, o la possibilità che la violazione fosse più estesa di quanto inizialmente compreso. In ogni caso, la portata di questo episodio richiede attenzione.

Cosa significa per voi

Se siete o eravate clienti di Odido, dovreste considerare le vostre informazioni personali come potenzialmente compromesse e agire di conseguenza:

Prestate attenzione ai tentativi di phishing. I criminali in possesso del vostro nome, email, numero di telefono e indirizzo possono confezionare messaggi truffaldini estremamente convincenti. Siate diffidenti nei confronti di qualsiasi contatto inaspettato che vi chieda di verificare informazioni o cliccare su un link — anche se sembra provenire da Odido o da un'altra azienda di fiducia.

Monitorate i vostri conti bancari. Con la possibile esposizione degli IBAN, tenete sotto stretto controllo qualsiasi attività finanziaria insolita. Contattate la vostra banca se notate qualcosa di sospetto.

State all'erta contro il SIM swapping. Se i criminali dispongono del vostro numero di cellulare e dei vostri dati personali, potrebbero tentare di trasferire il vostro numero su una nuova SIM per aggirare l'autenticazione a due fattori. Se il vostro telefono perde improvvisamente il segnale, contattate immediatamente il vostro operatore.

Prendete in considerazione l'utilizzo di un servizio di monitoraggio delle violazioni. Gli strumenti che vi avvisano quando il vostro indirizzo email o i vostri dati personali compaiono in archivi di dati violati possono fornirvi un avviso tempestivo e il tempo necessario per reagire.

Più in generale, questa violazione illustra una verità che vale per tutti, non solo per i clienti di Odido: non avete alcun controllo su quanto in modo sicuro un'azienda conservi i dati che le affidate per usufruire dei suoi servizi. I fornitori di telecomunicazioni, per loro natura, detengono alcune delle vostre informazioni più sensibili — e questo li rende bersagli particolarmente attraenti.

Un approccio globale alla privacy

Nessuno strumento o abitudine singolo può rendervi completamente immuni alle conseguenze di una violazione dei dati da parte di terzi. Tuttavia, sovrapporre più livelli di difesa riduce drasticamente la vostra esposizione al rischio.

L'utilizzo di una VPN come hide.me durante la navigazione o le transazioni online limita la quantità di attività che possono essere intercettate o tracciate, riducendo l'impronta digitale che lasciate presso i servizi che utilizzate. Non sarà in grado di annullare una violazione già avvenuta, ma rappresenta una parte significativa di una strategia più ampia per la tutela della privacy — da affiancare a password robuste e univoche, all'autenticazione a due fattori e al mantenersi informati sulle violazioni che riguardano i servizi che utilizzate.

La violazione di Odido è un caso di studio emblematico del motivo per cui la protezione dei dati personali non può essere delegata interamente alle aziende a cui affidate le vostre informazioni. Prendete in mano le parti che potete controllare, e rimanete vigili per tutto il resto.