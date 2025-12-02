Diverse aziende di trasporto aveva segnalato una violazione dei dati personali a metà aprile, in seguito ad un attacco informatico effettuato da ignoti cybercriminali contro i sistemi di myCicero, società che sviluppa le app e quindi conserva i dati sui propri server. In seguito alla nuova comunicazione pubblicata sul sito da myCicero, UnicoCampania ha inviato un’email agli utenti interessati.

Password resettata

Come spiega myCicero, l’attacco è avvenuto tra il 29 e 30 marzo 2025. Tra i clienti dell’azienda di Senigallia c’è il consorzio UnicoCampania. I dati degli utenti che hanno usato l’omonima app prima del 29 marzo sono stati esfiltrati dai server di myCicero. In seguito all’indagine effettuata è emerso il furto di dati anagrafici e di contatto (nome, cognome, email e numero di telefono), credenziali di login (username e password), informazioni relative al titolo di mobilità acquistato (tipologia, data inizio e fine validità, zona tariffaria, importo pagato).

Non sono stati sottratti i dati relativi a carte di credito o altri strumenti di pagamento in quanto tali informazioni non sono ospitati sui sistemi di myCicero. Le password sono memorizzate in forma cifrata, ma gli autori dell’attacco potrebbero decifrarle. La probabilità che ciò accada dipende da vari fattori, tra cui la complessità della password scelta e le risorse tecniche a disposizione dei cybercriminali.

UnicoCampania ha quindi resettato tutte le password. Gli utenti non devono ovviamente riutilizzare la stessa password per i successivi login o su altri siti/servizi. La nuova password deve essere lunga e contenere simboli, numeri, lettere maiuscole e minuscole. Per proteggere l’account di posta elettronica è consigliata l’attivazione dell’autenticazione in due fattori.

Per quanto riguarda gli altri dati (nome, cognome, email e numero di telefono) è necessario prestare molta attenzione alle possibili minacce. I cybercriminali potrebbero effettuare attacchi di phishing o smishing e tentare il furto di identità o l’iscrizione a servizi non richiesti.