Grazie mille per l'informazione, era drammaticamente sfuggita pure a me ma semplicemente perché è stata tenuta segreta fino ad oggi... Giacomo Tesio <giacomo@tesio.it> writes:
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9283040
E di dicembre 2018
provvedimento del 18 Dicembre 2019, pubblicato **oggi** sulla NEWSLETTER N. 463 del 6 marzo 2020 https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9283047 --8<---------------cut here---------------start------------->8--- La pubblicazione del provvedimento è stata però posticipata per dare modo alla società di implementare le misure prescritte e impedire che le vulnerabilità rilevate potessero essere sfruttate da eventuali malintenzionati. La società ha dichiarato di aver adempiuto, nei termini previsti, alle prescrizioni impartite. --8<---------------cut here---------------end--------------->8--- [...]
- attraverso un'applicazione *web* un numero indefinito di soggetti coinvolti a vario titolo nella gestione del servizio poteva consultare ed esportare, con credenziali condivise, i log (30 mesi) relativi a tutti i messaggi inviati/ricevuti da circa 6,5 milioni di caselle;
--8<---------------cut here---------------start------------->8--- Un’altra criticità riguardava la possibilità di consultare ed esportare, da rete internet, i log dei messaggi scambiati da oltre 6 milioni di caselle pec. Tale operazione era per altro effettuabile da un’utenza, con elevati privilegi di amministrazione (superadmin), utilizzata da più persone, in violazione dei più elementari principi di sicurezza del trattamento (che richiedono invece l’attribuzione a ogni operatore di credenziali individuali) e senza un’adeguata valutazione dei rischi connessi alla possibilità di accedere a queste informazioni, anche al di fuori della rete aziendale. --8<---------------cut here---------------end--------------->8--- La password di superadmin _condivisa_: ditemi che è uno scherzo dai :-)
- nei log dell'applicazione *web* "Area Clienti" erano memorizzate *in chiaro* le credenziali di autenticazione di utenze tecniche, nonché dati personali dei soggetti per cui era stata richiesta l'attivazione, da parte di un Partner, di una casella PEC.
--8<---------------cut here---------------start------------->8--- le password tecniche di gestione di alcuni servizi informatici erano riportate in chiaro nei log di tracciamento delle operazioni, aumentando così considerevolmente la possibilità di accessi illeciti, sia da parte di soggetti interni non autorizzati che in caso di attacco informatico. --8<---------------cut here---------------end--------------->8--- Quindi i log di cui sopra contenevano "alcune password tecniche" in chiaro ed erano scaricabili da chounque avesse la password di "superadmin" condivisa. Oh my... [...] E meno male che c'è la procedura di accreditamento [1]: ciumbia! https://it.wikipedia.org/wiki/Posta_elettronica_certificata#Norme_a_carico_d... --8<---------------cut here---------------start------------->8--- I richiedenti l'iscrizione nell'elenco dei gestori di PEC diversi dalle pubbliche amministrazioni devono avere natura giuridica di società di capitali e capitale sociale interamente versato non inferiore a un milione di euro --8<---------------cut here---------------end--------------->8--- ...mica c'è scritto che devono applicare procedure di sicurezza da sistemista junior :-O Saluti, Giovanni. [1] https://web.archive.org/web/20090221030640/http://www.cnipa.gov.it/site/it-I...) P.S.: e non apriamo nemmeno il vaso di pandora di come diavolo gestiranno i certificati X.509 della PKI, altrimenti casca tutto il castello -- Giovanni Biscuolo Xelera IT Infrastructures