Tech | Articoli

Aruba: a rischio 6 milioni di pec

6 Marzo 2020 | Autore:
Aruba: a rischio 6 milioni di pec

Il Garante per la protezione dei dati personali richiede nuove misure di sicurezza per il servizio di posta elettronica certificata.

Dopo le vulnerabilità rilevate durante un’ispezione del 2019, con un provvedimento d’urgenza, il Garante per la protezione dei dati personali si è mosso nei confronti della società Aruba Pec Spa che gestisce 2,7 milioni di domini, 8,6 milioni di caselle email, 6,7 milioni di caselle PEC, 130.000 server (fisici e virtuali) e circa 5,4 milioni di clienti.

Il Garante ha prescritto “misure per la messa in sicurezza del proprio servizio di posta elettronica certificata” al fine di evitare che “intestatari delle caselle pec, mittenti e destinatari dei messaggi, soggetti i cui dati sono presenti all’interno dei messaggi o degli allegati” venissero esposti a “gravi rischi per i diritti e le libertà derivanti da possibili utilizzi impropri di dati personali o da furti d’identità”.

Dalla fine del 2019, il provvedimento è stato pubblicato solo oggi per impedire lo sfruttamento delle vulnerabilità rilevate nel corso dell’ispezione.

A seguito dei controlli, è emerso che per l’accesso alla propria casella pec, circa 560.000 utenti utilizzavano ancora la password iniziale (in quanto, non era stato imposto l’obbligo di modifica al primo accesso). Tra le altre criticità, va segnalata la possibilità di consultare ed esportare, da rete internet, i log dei messaggi scambiati da più di 6 milioni di caselle pec.

Cosa ha imposto il Garante per la protezione dei dati personali ad Aruba Pec Spa? La modifica obbligatoria delle password di accesso alle caselle di posta certificata rilasciate in mmaniera non sicura; la ridefinizione delle modalità di tracciamento (i log prodotti non devono contenere informazioni non indispensabili per le finalità di controllo e sicurezza); un intervento sulle forme di consultazione e di esportazione dei log dei messaggi inviati o ricevuti da tutte le caselle di posta elettronica certificata.

Aruba pec Spa precisa che: “Nessun accesso illegittimo è stato effettuato sul sistema e non si è verificato nessun furto di identità, dati o password. In merito alle indicazioni, migliorie e modifiche richieste dal provvedimento del Garante della Privacy, Aruba PEC ha immediatamente provveduto a fare quanto previsto in modo da innalzare ulteriormente il livello di sicurezza del sistema, che – si ribadisce– non è mai stato violato”.


Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI

CERCA SENTENZA

Canale video Questa è La Legge

Segui il nostro direttore su Youtube