Alcuni Comuni hanno ricevuto una PEC dall’Agenzia per l’Italia Digitale che segnalava un potenziale Data Breach. Si tratta di una comunicazione che mira a mettere in guardia gli enti… |
Questo il testo del messaggio di AgID:
Oggetto: Esposizione dati da ‘Data Breach’
Mittente: cert-pa@pcert.agid.gov.it
Data: 03/12/2018 13:08
A: comune.XXX@YYY.it
Nel corso delle attivita’ di monitoraggio effettuate in data odierna, il CERT-PA e’ venuto a conoscenza dell’esistenza di un dump alla seguente URL: https://anon-italy.blogspot.com/2018/12/opgreenrights-il-patto-dei-sindacie-che.html
che espone dati riconducibili al Vostro dominio. Il ‘Breach’ in oggetto, elaborato con strumenti automatizzati, contiene elementi afferenti il vostro dominio in relazione all’esposizione di informazioni quali utenze/password.
In particolare, per il Vostro dominio, e’ emersa la compromissione dei seguenti account email:
xyz@comune.xxx.it
Tanto si segnala per le opportune azioni di contrasto, tra cui il ‘password reuse’ o al possibile incremento di posta indesiderata (Spam e Phishing).
Cordiali saluti,
CERT-PA
c/o Agenzia per l’Italia Digitale
Presidenza del Consiglio dei Ministri
www.cert-pa.it
Il messaggio ha indotto qualche preoccupazione tra gli enti, per cui si è reso necessario un approfondimento direttamente presso AgID, in rappresentanza di quei Comuni per cui SI.net svolge il ruolo di Data Protection Officer.
AgID ha risposto con solerzia, chiarendo l’accaduto: in pratica, sarebbe stato “bucato” il portale https://www.pattodeisindaci.eu/, all’interno del quale era presente un elenco di email di enti aderenti all’iniziativa con riportata una password, probabilmente una credenziale di accesso a qualche servizio correlato al portale.
Essendo tale elenco pubblicato in chiaro sul blog di Anonymous Italia, AgID ha giustamente provveduto a segnalare l’evento ai titolari di tali caselle di posta, invitando al cambio di password della casella di posta al fine di prevenire il “password reuse”, cioè l’abitudine purtroppo diffusa di utilizzare la medesima password in differenti contesti, che permetterebbe ad eventuali aggressori di forzare altre credenziali dello stesso utente utilizzando la password impropriamente ripetuta.
Si tratta di una comunicazione a scopo cautelativo, per cui si invitano gli enti come forma di tutela a modificare la password della casella incriminata. C’è da dire che l’elenco era abbastanza datato, infatti molte delle caselle pubblicate nell’elenco risultavano disabilitate ormai da qualche anno.
Nessun data breach per i Comuni quindi, solo una lodevole iniziativa preventiva di AGID.
Invitiamo gli enti che ricorrono a SI.net per il servizio di Responsabile Protezione Dati che dovessero ricevere la suddetta comunicazione di segnalarlo, inoltrandola a rpd@blog.sinetinformatica.it: in questo modo terremo traccia del “breach”, (come definito da AgID), registrando l’evento in coerenza con il pricipio di accountability del Regolamento UE 2016/679.
______________________________________________________
Visita la pagina del nostro sito dedicata alla Protezione dei dati e sicurezza informatica e contattaci, senza impegno, per ogni tua esigenza in merito: scrivi a comunicazione@blog.sinetinformatica.it o telefona allo 0331.576848.
Per ricevere aggiornamenti sulle tematiche relative all’innovazione e all’ICT iscriviti alla nostra newsletter.
Segui SI.net anche su Twitter e su Facebook, YouTube e LinkedIn
Salva
Salva
Salva
Salva
Salva
Salva