Ferrara, attacco hacker all’app di Tper: ecco cosa fare
Sottratti dati personali e credenziali di accesso degli utenti registrati all’applicazione Roger
L’app “Roger” di Tper, l’azienda che gestisce il trasporto pubblico urbano ed extra urbano anche nel bacino di Ferrara, ha subito un attacco informatico che ha comportato la sottrazione dei dati degli utenti registrati.
Secondo le informazioni rilasciate dalla stessa società, l’attacco è avvenuto tra il 29 e il 30 marzo del 2025 ed era già stato oggetto di una comunicazione ad aprile e poi di un avviso per il cambio di password sull’app lo scorso settembre.
L’applicazione è realizzata dal fornitore di servizi MyCicero.
I dati sottratti sono più estesi si quanto era stato inizialmente indicato. Si parlava solo di dati anagrafici e di contatto, invece l’attacco è stato più profondo e ha riguardato la sottrazione di dati relativi a nome, cognome, indirizzo e-mail, numero di telefono, codice fiscale o partita Iva forniti dagli utenti, nonché le credenziali di autenticazione (username e password) all’app. La password era offuscata dal sistema ma chi ha compiuto l'attacco potrebbe riuscire a ricostruirla.
Altri dati sottratti agli utenti comprendono quelli relativi alle soste (un servizio che non è attivo a Ferrara) e quindi targhe, zone tariffarie in cui sono avvenute le soste, date e orari di inizio e di fine sosta, posizione geografica (sono visibili soltanto per le soste effettuate nelle 64 ore precedenti al 29 marzo 2025 poiché quelle precedenti sono anonimizzate e quelle successive non sono oggetto di esfiltrazione, secondo Tper). Estratti anche i dati relativi ai titoli di viaggio (data acquisto, importo pagato, zona tariffaria, tipologia e data validità del titolo), abbonamenti (data inizio e fine validità, zona tariffaria, importo pagato, tipologia titolo acquistato) e tessere (nome, cognome, email, telefono, data nascita, codice fiscale, indirizzo, domicilio, codice categoria tariffaria).
Non risultano sottratti dai relativi a carte di credito o altri strumenti di pagamento.
Tra le prime cose da fare vi è il cambio di password di accesso, anche quella ad altre piattaforme qualora coincida con quella utilizzata per l’app Roger fino ad agosto 2025.
Tper e MyCicero affermano di aver già preso le necessarie contromisure tecnologiche per rafforzare il sistema.
Come comunicato da Tper nell’aggiornamento sulla privacy legato all’attacco, per gli utenti colpiti «resta ferma la possibilità di esercitare i diritti previsti dalla normativa applicabile in materia di protezione dei dati personali, tra cui accesso, rettifica, cancellazione, limitazione, opposizione e portabilità, nonché il diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali».