EDIT: Aruba PEC si trova costretta a smentire che ci sia o che ci sia stata una “falla nel database”. Nessun accesso illegittimo è stato effettuato sul sistema e non si è verificato nessun furto di identità, dati o password. In merito alle indicazioni, migliorie e modifiche richieste dal provvedimento del Garante della Privacy, Aruba PEC ha immediatamente provveduto a fare quanto previsto in modo da innalzare ulteriormente il livello di sicurezza del sistema, che – si ribadisce– non è mai stato violato.
Aruba, una delle più grandi società italiane di data center, servizi web hosting e PEC, ha affrontato un grande problema di sicurezza. Aruba è il colosso italiano che ha in programma un progetto molto interessante per l’apertura di una nuova software factory. E non solo. Aruba è la più grande società italiana a fornire un serivizio di Posta Elettronica Certificata, utilizzata da milioni di utenti.
E proprio il servizio di PEC è stato a rischio nell’ultimo periodo, a causa di alcune vulnerabilità nella sicurezza. Milioni di utenti usano quotidianamente la PEC, dai privati agli impiegati delle pubbliche amministrazioni. Ed è proprio per questo che il Garante per la Protezione dei Dati Personali italiano ha invitato Aruba a provvedere a risolvere questa falla, venuta a galla nel corso del 2019.
Nel corso del 2019, è stata trovata una falla nel database durante un’ispezione. Secondo il Garante, mittenti e destinatari che utilizzavano la PEC Aruba, erano sottoposti a “gravi rischi per i diritti e le libertà derivanti da possibili utilizzi impropri di dati personali o da furti d’identità“. Il tutto principalmente per tre motivi. In primis, più di cinquecento mila utenti, utilizzavano ancora le password di default, in quanto non era imposto l’obbligo alla modifica della password iniziale.
In secondo luogo, c’erano delle vulnerabilità nelle tecniche di gestione dei servizi informatici. Questo problema era associato al fatto che le password “erano riportate in chiaro nei log di tracciamento delle operazioni, aumentando così considerevolmente la possibilità di accessi illeciti, sia da parte di soggetti interni non autorizzati che in caso di attacco informatico“. Ed infine c’era un’ultimo problema, non meno importante dei precedenti.
L’ultima criticità riguardava la possibilità di “consultare ed esportare, da rete internet, i log dei messaggi scambiati da oltre 6 milioni di caselle pec. Tale operazione era effettuabile da un’utenza, con elevati privilegi di amministrazione (superadmin), utilizzata da più persone, in violazione dei più elementari principi di sicurezza del trattamento e senza un’adeguata valutazione dei rischi connessi alla possibilità di accedere a queste informazioni, anche al di fuori della rete aziendale“.
Il Garante ha quindi chiesto ad Aruba di modificare le password degli utenti che ancora non lo avessero fatto. Ha chiesto inoltre di ridefinire la modalità di tracciamento dei log. Ed infine ha richiesto di modificare le modalità di consultazione dei log dei messaggi inviati e ricevuti. Aruba rassicura però i suoi utenti. Il colosso ha dichiarato che nessun dato è stato rubato o utilizzato illecitamente. Ha inoltre provveduto ad effettuare le modifiche sulla sicurezza proposte dal Garante.