Aruba, 6 milioni di PEC erano a rischio. Ecco quali erano i problemi di sicurezza

Aruba, 6 milioni di PEC erano a rischio. Ecco quali erano i problemi di sicurezza

Il Garante della Privacy ha scoperto diversi elementi critici nella gestione della PEC da parte di Aruba, che gestisce oltre sei milioni di caselle usate da soggetti pubblici, società private e singoli professionisti. L'azienda ha sistemato i problemi.

di pubblicata il , alle 19:01 nel canale Web
Aruba
 

Nei giorni scorsi il Garante per la protezione dei dati personali (Garante della Privacy) ha annunciato di aver "prescritto ad Aruba Pec S.p.a. l'implementazione di misure per la messa in sicurezza del proprio servizio di posta elettronica certificata, che gestisce oltre sei milioni di caselle utilizzate da soggetti pubblici (come amministrazioni centrali e locali dello Stato), società private e singoli professionisti".

La notizia è stata data volutamente con ritardo, in modo da permettere all'azienda di implementare le misure prescritte e impedire che le vulnerabilità rilevate potessero essere sfruttate da eventuali malintenzionati. L'azienda ha adempiuto a quanto richiesto. Le vulnerabilità sono state identificate durante un accertamento ispettivo in merito alla gestione del servizio PEC, condotto nella seconda metà del 2019. "L'Autorità ha adottato un provvedimento urgente per evitare che diverse categorie di interessati coinvolti (intestatari delle caselle PEC, mittenti e destinatari dei messaggi, soggetti i cui dati sono presenti all'interno dei messaggi o degli allegati) fossero esposti a gravi rischi per i diritti e le libertà derivanti da possibili utilizzi impropri di dati personali o da furti d'identità".

Dagli accertamenti è emerso che circa 560.000 utenti usavano ancora, per l'accesso alla propria casella PEC, la password iniziale, scelta per loro da uno degli 8.900 partner della società (come ordini professionali, PA e soggetti privati) senza che fosse imposto, come avrebbe dovuto, l'obbligo di modifica al primo accesso.

Le procedure informatiche adottate contenevano, poi, ulteriori gravi vulnerabilità. Ad esempio, le password tecniche di gestione di alcuni servizi informatici erano riportate in chiaro nei log di tracciamento delle operazioni, aumentando così considerevolmente la possibilità di accessi illeciti, sia da parte di soggetti interni non autorizzati che in caso di attacco informatico.

Un'altra criticità riguardava la possibilità di consultare ed esportare, da rete internet, i log dei messaggi scambiati da oltre 6 milioni di caselle PEC. Tale operazione era per altro effettuabile da un'utenza, con elevati privilegi di amministrazione (superadmin), usata da più persone, in violazione dei più elementari principi di sicurezza del trattamento (che richiedono invece l'attribuzione a ogni operatore di credenziali individuali) e senza un'adeguata valutazione dei rischi connessi alla possibilità di accedere a queste informazioni, anche al di fuori della rete aziendale.

Il Garante ha quindi imposto ad Aruba Pec S.p.a. la modifica obbligatoria delle password di accesso alle caselle di posta certificata rilasciate in modo non sicuro, la ridefinizione delle modalità di tracciamento, prevedendo che i log prodotti non contengano informazioni non indispensabili per le finalità di controllo e sicurezza, nonché un intervento sulle modalità di consultazione ed esportazione dei log dei messaggi inviati o ricevuti da tutte le caselle PEC.

Con successivo provvedimento il Garante valuterà ulteriori aspetti del trattamento dei dati svolto da Aruba Pec S.p.a., nonché il complesso delle violazioni rilevate. Aruba, dal canto suo, ha diffuso una nota in cui spiega che "nessun accesso illegittimo è stato effettuato sul sistema e non si è verificato nessun furto di identità, dati o password. In merito alle indicazioni, migliorie e modifiche richieste dal provvedimento del Garante della Privacy, Aruba Pec ha immediatamente provveduto a fare quanto previsto in modo da innalzare ulteriormente il livello di sicurezza del sistema, che - si ribadisce - non è mai stato violato".

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Zurlo10 Marzo 2020, 09:08 #1
"Non e' mai stato violato" ... con le password scritte in chiaro nei log, un dipendente avrebbe potuto.
Darkon10 Marzo 2020, 10:07 #2
La colpa non è mica di Aruba... la colpa è di gente che ancora si affida a Aruba che se non è il peggio del peggio se la gioca.

Non affidatevi mai a gente come Aruba... di alternative valide ce ne sono e non le scrivo perché non voglio che si pensi che voglio fare pubblicità o che ci debba guadagnare qualcosa ma basta una ricerca per trovare servizi più che validi.

Non fidatevi di Aruba!!
djfix1310 Marzo 2020, 10:21 #3
a me Aruba ha sempre dato ottimi servizi ed ottimi prezzi, sia come host che come PEC poi se uno si trova male sono esperienze personali penso.
Darkon10 Marzo 2020, 10:40 #4
Originariamente inviato da: djfix13
a me Aruba ha sempre dato ottimi servizi ed ottimi prezzi, sia come host che come PEC poi se uno si trova male sono esperienze personali penso.


Finché tutto va bene io non discuto... è quello che non vedi il problema non i servizi in se.
LouC10 Marzo 2020, 16:36 #5
"è quello che non vedi il problema non i servizi in se."

Concordo che i problemi possano essere in quel che non si vede, ma il risultato è logicamente sgradevole. Dato che di qualsiasi operatore c'è qualcosa che non si vede, ogni operatore ha possibilmente dei problemi.
In aggiunta, visto che sono cose che non si vedono, non è dato sapere quanto siano gravi.
In conclusione, il commento iniziale implica che non ci siano "alternative valide", divenendo un paradosso.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^