[nexa] Provvedimento correttivo d’urgenza nei confronti di Aruba Posta Elettronica Certificata S.p.a.

Giacomo Tesio giacomo at tesio.it
Fri Mar 6 16:26:14 CET 2020


https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9283040

E di dicembre 2018, ma la scopro solo ora grazie ad Enrico Ferraris,
di cui riporto la ottima sintesi:
https://twitter.com/ebobferraris/status/1235934792497139715

Il Garante Privacy con provvedimento correttivo d'urgenza del 18/12/19
ha ingiunto al gestore ArubaPEC l'adozione di misure correttive, con
particolare riferimento alla gestione delle password e l'accesso ai
log.

- fino al 25/09/19 le password iniziali (di 8 caratteri) erano
  trasmesse in chiaro dalle società partner sulle caselle di
  posta ordinaria dei titolari delle PEC, senza obbligo di
  modifica al primo accesso;
- al 20/11/19 risultavano 559.151 caselle con la password iniziale;

- attraverso un'applicazione *web* un numero indefinito
  di soggetti coinvolti a vario titolo nella gestione del servizio
  poteva consultare ed esportare, con credenziali condivise,
  i log (30 mesi) relativi a tutti i messaggi inviati/ricevuti da
  circa 6,5 milioni di caselle;

- nei log dell'applicazione *web* "Area Clienti" erano memorizzate
  *in chiaro* le credenziali di autenticazione di utenze tecniche,
  nonché dati personali dei soggetti per cui era stata richiesta
  l'attivazione, da parte di un Partner, di una casella PEC.


Giacomo


More information about the nexa mailing list