Una falla nel database ha portato il Garante per la protezione dei dati personali a richiedere nuove misure di sicurezza per il servizio di PEC di Aruba.

Il Garante per la protezione dei dati personali ha prescritto ad Aruba Pec Spa di attuare misure per la messa in sicurezza del proprio servizio di PEC. Tale servizio gestisce oltre sei milioni di caselle utilizzate da soggetti pubblici (come amministrazioni centrali e locali dello Stato), società private e singoli professionisti.

Le vulnerabilità sono state rilevate durante un’ispezione a metà del 2019. Per per evitare che gli intestatari delle caselle pec fossero esposti a rischi il garante si è mosso per colmare questa falla.

Perché la pubblicazione del provvedimento è avvenuta ora?

La pubblicazione del provvedimento è stata posticipata al 6 marzo 2020 per un buon motivo. In questo periodo la società ha provveduto a colmare la “falla” nei suoi sistemi, evitando che lo sfruttamento della vulnerabilità da parte di hacker e malintenzionati. La società ha dichiarato di aver adempiuto, nei termini previsti, alle prescrizioni impartite.

La falla del database di Aruba: in cosa consisteva

Dagli accertamenti è emerso che circa 560.000 utenti utilizzavano ancora, per l’accesso alla propria casella pec, la password iniziale senza che fosse imposto, come avrebbe dovuto, l’obbligo di modifica al primo accesso.

Le procedure informatiche adottate contenevano altre vulnerabilità. Ad esempio, le password tecniche di gestione di alcuni servizi informatici erano riportate nei log di tracciamento delle operazioni. Si aumentava così la possibilità di accessi illeciti. Scrive inoltre il garante:

“Un’altra criticità riguardava la possibilità di consultare ed esportare, da rete internet, i log dei messaggi scambiati da oltre 6 milioni di caselle pec. Tale operazione era per altro effettuabile da un’utenza, con elevati privilegi di amministrazione, utilizzata da più persone, in violazione dei più elementari principi di sicurezza del trattamento (che richiedono invece l’attribuzione a ogni operatore di credenziali individuali) e senza un’adeguata valutazione dei rischi connessi alla possibilità di accedere a queste informazioni, anche al di fuori della rete aziendale”.

Cosa dovrà fare Aruba PEC SPA

  • Far modificare obbligatoriamente le password di accesso alle caselle di posta certificata rilasciate in modo non sicuro.
  • Ridefinire le modalità di tracciamento, prevedendo che i log prodotti non contengano informazioni non indispensabili per le finalità di controllo e sicurezza.
  • Intervenire sulle modalità di consultazione ed esportazione dei log dei messaggi inviati o ricevuti da tutte le caselle pec.

Leave a Reply