Ora la PEC di Aruba è sicura?

Domanda che può apparire strana questa ma c’è un provvedimento del garante per gravi falle di sicurezza di Aruba. Rispondiamo quindi a Ora la PEC di Aruba è sicura?

aruba pec sicurezza provvedimento garante

Adesso sì ma dalla metà dell’anno scorso non lo era affatto. Ecco alcuni stralci di quello che scrive il Garante.

Prescritte ad un gestore misure urgenti per la sicurezza del servizio pec
Il provvedimento a tutela degli utenti reso noto solo oggi per impedire lo sfruttamento delle vulnerabilità rilevate nel corso di un’ispezione

A seguito delle vulnerabilità rilevate durante un accertamento ispettivo in merito alla gestione del servizio pec, condotto nella seconda metà del 2019, l’Autorità ha adottato un provvedimento urgente per evitare che diverse categorie di interessati coinvolti (intestatari delle caselle pec, mittenti e destinatari dei messaggi, soggetti i cui dati sono presenti all’interno dei messaggi o degli allegati) fossero esposti a gravi rischi per i diritti e le libertà derivanti da possibili utilizzi impropri di dati personali o da furti d’identità.

La pubblicazione del provvedimento è stata però posticipata per dare modo alla società di implementare le misure prescritte e impedire che le vulnerabilità rilevate potessero essere sfruttate da eventuali malintenzionati. La società ha dichiarato di aver adempiuto, nei termini previsti, alle prescrizioni impartite.

Dagli accertamenti è emerso che circa 560.000 utenti utilizzavano ancora, per l’accesso alla propria casella pec, la password iniziale, scelta per loro da uno degli 8.900 partner della società (come ordini professionali, Pa e soggetti privati) senza che fosse imposto, come avrebbe dovuto, l’obbligo di modifica al primo accesso. Le procedure informatiche adottate contenevano, poi, ulteriori gravi vulnerabilità. Ad esempio, le password tecniche di gestione di alcuni servizi informatici erano riportate in chiaro nei log di tracciamento delle operazioni, aumentando così considerevolmente la possibilità di accessi illeciti, sia da parte di soggetti interni non autorizzati che in caso di attacco informatico.

Un’altra criticità riguardava la possibilità di consultare ed esportare, da rete internet, i log dei messaggi scambiati da oltre 6 milioni di caselle pec. Tale operazione era per altro effettuabile da un’utenza, con elevati privilegi di amministrazione (superadmin), utilizzata da più persone, in violazione dei più elementari principi di sicurezza del trattamento (che richiedono invece l’attribuzione a ogni operatore di credenziali individuali) e senza un’adeguata valutazione dei rischi connessi alla possibilità di accedere a queste informazioni, anche al di fuori della rete aziendale.

Il Garante ha quindi imposto ad Aruba Pec S.p.a. la modifica obbligatoria delle password di accesso alle caselle di posta certificata rilasciate in modo non sicuro, la ridefinizione delle modalità di tracciamento, prevedendo che i log prodotti non contengano informazioni non indispensabili per le finalità di controllo e sicurezza, nonché un intervento sulle modalità di consultazione ed esportazione dei log dei messaggi inviati o ricevuti da tutte le caselle pec.

Il provvedimento completo dove vengono elencati anche i problemi che il Garante ha rilevato lo puoi leggere direttamente sul sito del Garante.

Pare che ora l’allarme sia rientrato e che Aruba abbia corretto tutte le falle che il Garante aveva sottolineato nel provvedimento ma considerando il numero elevatissimo di PEC gestite da Aruba il problema non è stato da poco sicuramente.

Dai un voto all'articolo

Ora la PEC di Aruba è sicura? Domanda che può apparire strana questa ma c’è un provvedimento del garante per gravi falle di sicurezza di Aruba. Rispondiamo quindi a Ora la PEC di Aruba è sicura? Adesso sì ma dalla metà dell’anno scorso non lo era affatto. Ecco alcuni stralci di quello che scrive il Garante. Prescritte ad un gestore misure urgenti […]
3.75 1 5 4
3.75

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Torna in alto