Misure urgenti del Garante privacy per Aruba

Dalla newsletter, pubblicata in data 6 marzo 2020 sul sito dell’Autorità Garante per la protezione dei dati personali, pubblichiamo il post relativo alle misure urgenti imposte dal Garante ad Aruba per il servizio Pec.

* * *

La più importante ha riguardato l’esito di un controllo ispettivo che il Garante ha eseguito nei confronti di Aruba, importante società gestore di servizi di posta elettronica al quale sono state riscontrate alcune vulnerabilità dei sistemi informatici dedicati al servizio di posta elettronica certificata: per l’accesso alla  casella pec, circa 560.000 utenti inserivano la password iniziale che era stata scelta per loro da uno degli 8.900 partner della società (come ordini professionali, Pa e soggetti privati) senza che fosse imposto, come avrebbe dovuto, l’obbligo di modifica al primo accesso.

Il Garante ha posticipato la pubblicazione del provvedimento per dare modo alla società di implementare le misure prescritte e impedire che le vulnerabilità rilevate potessero essere sfruttate da eventuali malintenzionati.

La società ha dichiarato di aver adempiuto, nei termini previsti, alle prescrizioni impartite.

Un’altra criticità ha riguardato la possibilità di consultare ed esportare, da rete internet, i log dei messaggi scambiati da oltre 6 milioni di caselle pec.

Tale operazione era per altro effettuabile da un’utenza, con elevati privilegi di amministrazione (superadmin), utilizzata da più persone, in violazione dei più elementari principi di sicurezza del trattamento (che richiedono invece l’attribuzione a ogni operatore di credenziali individuali) e senza un’adeguata valutazione dei rischi connessi alla possibilità di accedere a queste informazioni, anche al di fuori della rete aziendale.

Il Garante ha quindi imposto ad Aruba Pec S.p.a. la modifica obbligatoria delle password di accesso alle caselle di posta certificata rilasciate in modo non sicuro, la ridefinizione delle modalità di tracciamento, prevedendo che i log prodotti non contengano informazioni non indispensabili per le finalità di controllo e sicurezza, nonché un intervento sulle modalità di consultazione ed esportazione dei log dei messaggi inviati o ricevuti da tutte le caselle pec.

Scarica il testo del provvedimento.

Segui e condividi i nostri contenuti anche sui social network...