[nexa] Provvedimento correttivo d’urgenza nei confronti di Aruba Posta Elettronica Certificata S.p.a.

Giovanni Biscuolo g at xelera.eu
Fri Mar 6 17:51:29 CET 2020


Grazie mille per l'informazione,

era drammaticamente sfuggita pure a me ma semplicemente perché è stata
tenuta segreta fino ad oggi...

Giacomo Tesio <giacomo at tesio.it> writes:

> https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9283040
>
> E di dicembre 2018

provvedimento del 18 Dicembre 2019, pubblicato **oggi** sulla NEWSLETTER
N. 463 del 6 marzo 2020

https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9283047

--8<---------------cut here---------------start------------->8---

La pubblicazione del provvedimento è stata però posticipata per dare
modo alla società di implementare le misure prescritte e impedire che le
vulnerabilità rilevate potessero essere sfruttate da eventuali
malintenzionati. La società ha dichiarato di aver adempiuto, nei termini
previsti, alle prescrizioni impartite.

--8<---------------cut here---------------end--------------->8---

[...]

> - attraverso un'applicazione *web* un numero indefinito
>   di soggetti coinvolti a vario titolo nella gestione del servizio
>   poteva consultare ed esportare, con credenziali condivise,
>   i log (30 mesi) relativi a tutti i messaggi inviati/ricevuti da
>   circa 6,5 milioni di caselle;

--8<---------------cut here---------------start------------->8---
Un’altra criticità riguardava la possibilità di consultare ed esportare,
da rete internet, i log dei messaggi scambiati da oltre 6 milioni di
caselle pec. Tale operazione era per altro effettuabile da un’utenza,
con elevati privilegi di amministrazione (superadmin), utilizzata da più
persone, in violazione dei più elementari principi di sicurezza del
trattamento (che richiedono invece l’attribuzione a ogni operatore di
credenziali individuali) e senza un’adeguata valutazione dei rischi
connessi alla possibilità di accedere a queste informazioni, anche al di
fuori della rete aziendale.
--8<---------------cut here---------------end--------------->8---

La password di superadmin _condivisa_: ditemi che è uno scherzo dai :-)

> - nei log dell'applicazione *web* "Area Clienti" erano memorizzate
>   *in chiaro* le credenziali di autenticazione di utenze tecniche,
>   nonché dati personali dei soggetti per cui era stata richiesta
>   l'attivazione, da parte di un Partner, di una casella PEC.

--8<---------------cut here---------------start------------->8---
le password tecniche di gestione di alcuni servizi informatici erano
riportate in chiaro nei log di tracciamento delle operazioni, aumentando
così considerevolmente la possibilità di accessi illeciti, sia da parte
di soggetti interni non autorizzati che in caso di attacco informatico.
--8<---------------cut here---------------end--------------->8---

Quindi i log di cui sopra contenevano "alcune password tecniche" in
chiaro ed erano scaricabili da chounque avesse la password di
"superadmin" condivisa.

Oh my...

[...]

E meno male che c'è la procedura di accreditamento [1]: ciumbia!

https://it.wikipedia.org/wiki/Posta_elettronica_certificata#Norme_a_carico_del_gestore

--8<---------------cut here---------------start------------->8---

I richiedenti l'iscrizione nell'elenco dei gestori di PEC diversi dalle
pubbliche amministrazioni devono avere natura giuridica di società di
capitali e capitale sociale interamente versato non inferiore a un
milione di euro

--8<---------------cut here---------------end--------------->8---

...mica c'è scritto che devono applicare procedure di sicurezza da
sistemista junior :-O


Saluti, Giovanni.

[1]
https://web.archive.org/web/20090221030640/http://www.cnipa.gov.it/site/it-IT/Attivit%C3%A0/Posta_Elettronica_Certificata__(PEC)



P.S.: e non apriamo nemmeno il vaso di pandora di come diavolo
gestiranno i certificati X.509 della PKI, altrimenti casca tutto il
castello


-- 
Giovanni Biscuolo

Xelera IT Infrastructures
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 832 bytes
Desc: not available
URL: <http://server-nexa.polito.it/pipermail/nexa/attachments/20200306/a4c24e51/attachment.sig>


More information about the nexa mailing list