Possibile violare tutti i portali che si basano sul protocollo SS7 intercettando una OTP. Positive Technologies, produttore leader nella fornitura di soluzioni di sicurezza aziendale, gestione delle vulnerabilità, analisi delle minacce e protezione delle applicazioni, ha analizzato dettagliatamente il protocollo SS7 (Signaling System 7), un set standardizzato di protocolli di segnalazione utilizzato dalle reti telefoniche di tutto il mondo per gestire le telefonate, in particolar modo per aprirle e chiuderle. Il protocollo SS7, chiamato anche “sistema nervoso di una rete telefonica” viene utilizzato anche per gestire i servizi di SMS, per l’invio di messaggi di testo e per gestire gli addebiti e le telefonate tra differenti operatori.
Un buco di sicurezza enorme nelle telecomunicazioni moderne permette di spiare facilmente i cellulari di tutto il mondo senza che l'utente del telefono lo sappia. Due ricercatori tedeschi hanno scoperto alcune falle di sicurezza che potrebbero lasciare ad hacker, spie e criminali, ascoltare telefonate private e intercettare messaggi di testo su scala potenzialmente enorme, anche quando le reti cellulari utilizzano la crittografia più avanzata oggi disponibile. I difetti, segnalati in una conferenza di hacker ad Amburgo, sono l'ultima testimonianza di una diffusa insicurezza sui protocolli SS7 (Signaling System 7), la rete globale che consente ai vettori mobili di tutto il mondo di instradare chiamate, messaggi e altri servizi.
L'Agenzia per la sicurezza nazionale (NSA) statunitense sta raccogliendo i dati sulle chiamate telefoniche di milioni di utenti di Verizon Communications, uno dei più grandi fornitori di telecomunicazioni negli Stati Uniti. Lo ha rivelato in esclusiva il Guardian, che ha avuto accesso a un'ordinanza top secret emessa ad aprile nei confronti di Verizon, che ordina all'operatore telefonico di consegnare alle autorità i tabulati delle telefonate nazionali e internazionali degli utenti per tre mesi, fino al 19 luglio.
Ispezioni della Guardia di Finanza in tutta Italia sul rispetto delle norme per la conservazione dei dati di traffico telefonico e telematico Si chiama "Data Retention" l'operazione eseguita dai Finanzieri del Nucleo Speciale Privacy di Roma, nell'ambito delle attività di collaborazione con il Garante per la protezione dei dati personali, nei confronti di 11 società di telefonia e provider. Gli accertamenti ispettivi, che si inquadrano nell'ambito dei controlli effettuati su delega dell'Autorità per la privacy, traggono origine da un'attività di analisi effettuata dal Nucleo, d'intesa con il Comando Unità Speciali della Guardia di Finanza, al fine di verificare che gli operatori telefonici ed i provider della rete internet rispettino le norme "privacy".
Uno degli aspetti più delicati è senz'altro quello del trattamento dei dati di traffico telefonico e telematico, che consente agli operatori di disporre di una serie di importanti informazioni quali tra l'altro il numero chiamato, ora e data e durata del contatto nonché la localizzazione degli apparati degli utenti in caso dell'utilizzo di un telefono mobile. Tali informazioni, in continuo aumento anche per il diffondersi di smartphone e tablet, devono essere conservate dai fornitori di servizi di comunicazione elettronica per ventiquattro mesi (dati di traffico telefonico) e dodici mesi (dati di traffico telematico) per fini investigativi e di giustizia, ad esclusiva disposizione degli organi inquirenti.
Il Garante ha stabilito con il provvedimento del 17 gennaio 2008 stringenti misure e accorgimenti che devono essere rispettati dai fornitori per garantire la sicurezza dei dati, e la loro automatica cancellazione al termine del periodo di conservazione previsto dalla legge. L'operazione in questione, pertanto, mirava a verificare il rispetto della normativa in materia di trattamento dei dati personali, nell'ottica di un bilanciamento tra le ragioni di giustizia e di sicurezza e l'interesse alla riservatezza della vita privata dei cittadini che, usufruendo di servizi di telefonia e di accesso ad internet ed alla posta elettronica, anche in mobilità, hanno rilasciato i propri dati alle aziende che forniscono i relativi servizi.
I controlli eseguiti hanno avuto in primo luogo lo scopo di sensibilizzare gli operatori del settore circa il rispetto delle disposizioni di legge e delle prescrizioni impartite dal Garante. In 9 casi sono state accertate e contestate violazioni amministrative al Codice Privacy relativamente alla conservazione dei dati di traffico oltre i termini previsti, alla mancata adozione delle misure minime di sicurezza, e alla mancata adozione di alcune delle ulteriori misure di protezione prescritte dal provvedimento del Garante, quali l'uso di tecnologie di riconoscimento biometrico per selezionare l'accesso ai dati e la cifratura dei dati.
Due sono state le segnalazioni al Ministero dello sviluppo economico per l'eventuale contestazione della violazione relativa alla mancata conservazione dei dati di traffico o alla loro conservazione per un tempo inferiore a quello previsto. E' stata, infine, predisposta una segnalazione all'Autorità Giudiziaria per l'ipotesi di reato di violazione delle misure minime di sicurezza. Al di là dei profili sanzionatori, il Garante dovrà ora valutare, caso per caso, la congruità delle misure adottate nonché la liceità dei trattamenti con riferimento, in particolare, al profilo, emerso in taluni casi, del trasferimento all'estero dei dati. In ultima analisi, il messaggio che si è inteso veicolare mediante l'attività ispettiva in questione è stato quello che gli operatori del settore devono garantire la massima riservatezza dei dati di traffico generati dagli utenti dei propri servizi.
