La aplicación de Mi Vodafone (Mi Vodafone App, versión para móviles de Mi Vodafone) ha sufrido un ataque de credential stuffing, consistente en la utilización de credenciales de los usuarios obtenidas de forma previa. Esta actividad fue detectada como resultado de 58.630 intentos de acceso contra la aplicación usando la interfaz de programación de la aplicación. Tras analizar los intentos de acceso, se comprobó que el tráfico consistía en solicitudes de combinación de nombre de usuario y contraseña para validar si algunas de las credenciales existían en la plataforma.
Como resultado de esos intentos, 277 intentos fueron exitosos por el atacante para 259 clientes, detectándose descargas de 185 facturas relacionadas con 171 clientes de entre los 259 afectados, que han sido identificados internamente con el fin de monitorizar su actividad y poder marcarlos como potenciales víctimas de fraude, así como informados específicamente del posible acceso a sus datos. Los datos que aparecen en una factura son los siguientes: nombre, apellidos, dirección, DNI, líneas contratadas, tarifa, últimos 4 dígitos de la cuenta bancaria).
La brecha de seguridad y las actuaciones realizadas fueron puestas en conocimiento de la Agencia Española de Protección de Datos (AEPD). En su resolución, la AEPD considera que Vodafone disponía de medidas de seguridad razonable y que la entidad contaba con protocolos de actuación para afrontar un incidente. Ello ha permitido la identificación, análisis y clasificación de la brecha de seguridad de datos personales así como reacción ante la misma de forma diligente, minimizando el impacto. Entre otros aspectos, la Agencia destaca la rápida actuación de la entidad desde el mismo momento en que tuvo conocimiento de los hechos, interviniendo de forma activa en su resolución, minimizando los efectos del incidente al rastrear todas las contraseñas de las cuentas afectadas e implementar medidas que anularon por completo la efectividad del ataque.
Por lo tanto, entiende acreditada que la actuación de la entidad investigada como entidad responsable del tratamiento ha sido acorde con la normativa sobre protección de datos personales y procede al archivo de las actuaciones.