Garante contro Aruba: “Password Pec non sicure”.

l Garante per la protezione dei dati personali, con un provvedimento d'urgenza, ha prescritto ad Aruba Pec Spa "misure per la messa in sicurezza del proprio servizio di posta elettronica certificata". Sono coinvolte oltre sei milioni di caselle utilizzate da amministrazioni pubblici società private e singoli professionisti. “Intestatari delle caselle pec, mittenti e destinatari dei messaggi, soggetti i cui dati sono presenti all’interno dei messaggi o degli allegati fossero esposti a gravi rischi per i diritti e le libertà derivanti da possibili utilizzi impropri di dati personali o da furti d’identità". La pubblicazione del provvedimento è stata però posticipata - da fine 2019 ad oggi - per consentire ad Aruba di rimediare nei suoi sistemi e per evitare che "le vulnerabilità rilevate potessero essere sfruttate da eventuali malintenzionati. La società ha dichiarato di aver adempiuto, nei termini previsti, alle prescrizioni impartite". Dalle verifiche circa 560.000 utenti avrebbero utilizzato ancora, per l’accesso alla propria casella pec, la password iniziale senza che fosse imposto, come avrebbero dovuto, l’obbligo di modifica al primo accesso. “Erano riportate in chiaro nei log di tracciamento delle operazioni, aumentando così considerevolmente la possibilità di accessi illeciti, sia da parte di soggetti interni non autorizzati che in caso di attacco informatico. Un’altra criticità - scrive il Garante - riguardava la possibilità di consultare ed esportare, da rete internet, i log dei messaggi scambiati da oltre 6 milioni di caselle pec. Tale operazione era per altro effettuabile da un’utenza, con elevati privilegi di amministrazione (superadmin), utilizzata da più persone, in violazione dei più elementari principi di sicurezza del trattamento (che richiedono invece l’attribuzione a ogni operatore di credenziali individuali) e senza un’adeguata valutazione dei rischi connessi alla possibilità di accedere a queste informazioni, anche al di fuori della rete aziendale". Il Garante ha quindi imposto ad Aruba Pec Spa: - la modifica obbligatoria delle password di accesso alle caselle di posta certificata rilasciate in modo non sicuro; - la ridefinizione delle modalità di tracciamento, prevedendo che i log prodotti non contengano informazioni non indispensabili per le finalità di controllo e sicurezza; - un intervento sulle modalità di consultazione ed esportazione dei log dei messaggi inviati o ricevuti da tutte le caselle pec. La società Aruba in una nota spiega: "Nessun accesso illegittimo è stato effettuato sul sistema e non si è verificato nessun furto di identità, dati o password.  In merito alle indicazioni, migliorie e modifiche richieste dal provvedimento del Garante della Privacy, Aruba Pec ha immediatamente provveduto a fare quanto previsto in modo da innalzare ulteriormente il livello di sicurezza del sistema, che – si ribadisce – non è mai stato violato".

Autore / Fonte: Gestione di pagina e notizie a cura di G. B. ed S. B.

Tweet