Aruba, problemi con la PEC in Italia: a rischio 560mila indirizzi - Aggiornata

Aruba, problemi con la PEC in Italia: a rischio 560mila indirizzi
di

Secondo quanto riportato da Repubblica, il Garante per la Protezione dei Dati Personali del nostro paese ha invitato Aruba Pec SPA a mettere in campo tutte le misure necessarie per la "messa in sicurezza del proprio servizio di posta elettronica certificata", che viene utilizzata da sei milioni di persone, società private e professionisti.

Il tutto a causa di una falla trovata nel database durante l'ispezione effettuata a metà 2019, attraverso cui il Garante si è impegnato affinchè "intestatari delle caselle pec, mittenti e destinatari dei messaggi, soggetti i cui dati sono presenti all’interno dei messaggi o degli allegati" fossero esposti a "gravi rischi per i diritti e le libertà derivanti da possibili utilizzi impropri di dati personali o da furti d’identità".

Durante gli accertamenti è emerso che circa 560mila utenti utilizzavano la password iniziale per accedere alla Pec. Il gestore, di fatto, non aveva imposto l'obbligo di modifica a seguito del primo accesso. Inoltre, sono state rilevate anche delle gravi vulnerabilità nelle tecniche di gestione dei servizi informatici, in cui le password "erano riportate in chiaro nei log di tracciamento delle operazioni, aumentando così considerevolmente la possibilità di accessi illeciti, sia da parte di soggetti interni non autorizzati che in caso di attacco informatico".

Nella relazione viene anche rilevato che "un'altra criticità riguardava la possibilità di consultare ed esportare, da rete internet, i log dei messaggi scambiati da oltre 6 milioni di caselle pec. Tale operazione era per altro effettuabile da un’utenza, con elevati privilegi di amministrazione (superadmin), utilizzata da più persone, in violazione dei più elementari principi di sicurezza del trattamento (che richiedono invece l’attribuzione a ogni operatore di credenziali individuali) e senza un’adeguata valutazione dei rischi connessi alla possibilità di accedere a queste informazioni, anche al di fuori della rete aziendale".

E' stato chiesto ad Aruba Pec Spa di modificare le password di accesso non sicure, la ridefinizione delle modalità di tracciamento, evitando che i log possano contenere informazioni non indispensabili per il controllo degli utenti, ed un intervento sulle modalità di consultazione ed esportazione dei log dei messaggi inviati o ricevuti da tutte le caselle.

Aggiornamento 16:43 - Di seguito lo statement ufficiale dell'azienda

"Aruba PEC si trova costretta a smentire che ci sia o che ci sia stata una “falla nel database”. Nessun accesso illegittimo è stato effettuato sul sistema e non si è verificato nessun furto di identità, dati o password. In merito alle indicazioni, migliorie e modifiche richieste dal provvedimento del Garante della Privacy, Aruba PEC ha immediatamente provveduto a fare quanto previsto in modo da innalzare ulteriormente il livello di sicurezza del sistema, che – si ribadisce– non è mai stato violato."

Quanto è interessante?
6