Data breach di Aruba: come difendersi e ottenere chiarimenti

Questa triste storia “all’italiana” inizia il 23 aprile 2021: Aruba (uno dei più famosi provider italiani di servizi web, firma digitale e PEC) subisce una violazione informatica — un cosiddetto data breach. Nello stesso periodo, operando senza dare troppo nell’occhio, l’azienda interviene sui propri sistemi per forzare a tutti i clienti un cambio delle password, senza tuttavia indicare il motivo specifico.

Dopo più di 80 giorni, il 14 luglio 2021, il provider informa i propri clienti della circostanza. A dire il vero, alcuni (come me) sono stati informati il giorno successivo, ma poco importa. Fino a quel momento ai clienti era sempre stata negata qualunque informazione in merito a possibili attacchi, nonostante la manovra del cambio password fosse sembrata a molti “quantomeno bislacca” (cit. Orlando Serpentieri).

Un professionista aveva chiesto conto ad Aruba riguardo la massiccia operazione di cambio password

L’email inviata da Aruba a metà luglio, oltre che estremamente tardiva, è scritta in modo da minimizzare nel modo più assoluto quanto successo. L’oggetto del messaggio è semplicemente “Comunicazione“, un titolo che passa inosservato, probabilmente ritenuto più innocuo di “Avviso VIOLAZIONE dati” o “Ci hanno sfondato il sistema”.

Il testo del messaggio è davvero peculiare, in quanto sottolinea che non ci sono state alterazioni di dati, né cancellazioni:

desideriamo informarla che il 23 aprile scorso abbiamo rilevato e bloccato un accesso non autorizzato alla rete che ospita alcuni dei nostri sistemi gestionali, ma nessun dato è stato cancellato né alterato

Aruba

Sempre relativamente ai dati, in seguito si ribadisce che la loro “integrità e disponibilità non sono state impattate in alcun modo”. Peccato che in tutto questo si sorvoli sul fattore più importante: la confidenzialità. I dati menzionati sono:

  • nome e cognome
  • codice fiscale
  • indirizzo, città, CAP, provincia
  • telefono
  • indirizzo email, indirizzo PEC
  • login all’area clienti
  • password (protette da crittografia forte)

Agli occhi di un utente poco esperto di sicurezza informatica il messaggio potrebbe lasciare l’idea che non sia successo niente di grave, ma in verità non si dice nulla riguardo il fatto che questi dati possano essere stati letti o copiati da terze parti non autorizzate. Viene da pensare che la bizzarra scelta di parole non sia casuale, ma strategicamente pensata per minimizzare gli eventi.

Il messaggio termina con alcuni consigli generici relativi ad accortezze per evitare le truffe (stare attenti alle email che sembrano provenire dal provider, non divulgare password, e così via) ma sostanzialmente dichiara all’utente che “non è necessaria alcuna azione”.

Tutto a posto quindi? Naturalmente no.

Innanzitutto, un aspetto assolutamente incredibile è che l’azienda riferisca di aver inviato la comunicazione quasi come se fosse stata una sorta di cortesia verso il cliente:

A conclusione di tutte le nostre analisi, abbiamo ritenuto doveroso informarla dell’accaduto seppur non sia richiesta alcuna azione da parte sua.

Aruba

La realtà è diversa: informare di un data breach è un obbligo di legge, ai sensi del GDPR. Questo oltretutto dovrebbe essere fatto in modo repentino, non tardivo. La lungaggine di Aruba ha raggiunto persino le testate internazionali (es. Aruba waited months to notify customers regarding a recent data breach).

L’opinione di un DPO che conferma l’ambiguità e la tardività della comunicazione

Oltre a questo, permane la mancanza di chiarezza sul fatto che una terza parte abbia avuto accesso ai dati. Sui social si sono scatenate molte reazioni ironiche, con frasi come “i nostri dati vanno Aruba”. Al di là della parentesi goliardica, molti clienti vogliono giustamente avere delle risposte chiare.

Come richiedere chiarimenti ad Aruba

La mancanza di chiarezza in merito alla possibilità che i dati siano stati letti ha portato molte persone a contattare l’azienda, che ha fornito un indirizzo email normale (non PEC) dedicato. Vari clienti hanno ricevuto una risposta a voce, non per iscritto, il che lascia piuttosto perplessi.

Una parziale conferma fornita da Aruba, dopo ripetute insistenze

Personalmente ho inviato un’istanza ad Aruba tramite PEC il 21 luglio 2021, richiedendo dei chiarimenti ed esercitando il diritto di accesso ai dati personali ai sensi dell’articolo 15 del Regolamento UE 2016/679. Quest’ultimo passaggio è importante perché obbliga l’azienda a rispondere, per non rischiare di incorrere in sanzioni.

Pensavo di attendere qualche giorno per la risposta, prima di scrivere questo post, però non è ancora pervenuta. Ho deciso pertanto di scrivere alcune indicazioni su come chiedere chiarimenti ad Aruba e fornirvi un modello della mia lettera, nel caso vi possa tornare utile.

Vi ricordo che io non sono un avvocato, sono semplicemente un consulente informatico forense, e questo articolo non costituisce una consulenza legale. Detto questo, se volete scaricare il modello in formato modificabile potete cliccare qui sotto:

Per utilizzare il modello seguite queste istruzioni:

  • Aprite il file con un programma di videoscrittura e modificate tutte le parti di colore rosso, inserendo i vostri dati
  • Leggete il documento per intero, effettuando le modifiche che ritenete opportune
  • Convertite in PDF e firmate (meglio se con firma digitale, altrimenti va allegata la copia di un documento di identità)
  • Inviate il documento firmato preferibilmente all’indirizzo PEC aruba@aruba.pec.it, includendo in copia anche infoprivacy@staff.aruba.it

Qualora l’azienda non dovesse rispondere nel termine di 30 giorni dalla vostra richiesta, potrete procedere all’inoltro di un reclamo al Garante per la Protezione dei Dati Personali. Il modello per il reclamo è consultabile cliccando qui.

Una volta ricevuta una risposta di Aruba provvederò ad aggiornare questo post.

Se lo desiderate, potete condividere le vostre esperienze con la richiesta (ed eventuale risposta) qui sotto nei commenti.

13 pensieri riguardo “Data breach di Aruba: come difendersi e ottenere chiarimenti

  1. Carissimo Andrea buongiorno e grazie per la info relativa a questo Data Breach su Aruba. Io possiedo una PEC di Aruba che annualmente pago, ma sia su questa mail PEC che sull’altra mail ‘normale’ non ho ricevuto nessuna notifica di tale breach da Aruba, sicché sono andato a controllare sul portale ove viene rilevata una qualsiasi intrusione di dati, ma anche qui mi dice che non ci sono stati problemi, è possibile che non sia stato toccato da questo problema? Grazie

    Buona Giornata

    MD

    some people want it to happen, some wish it would happen, others make it happen…

  2. …ma tutto questo potrebbe avere a che fare con l’attacco informatico alla Regione Lazio di cui siamo da poco venuti a conoscenza…??

  3. Maxwell972, è strano che tu non abbia ricevuto la comunicazione. In teoria dovrebbero averla inviata a tutti i clienti (via email normale, per chiarire, non sulla PEC). Certo, da come l’avevano intitolata è facile che sia passata inosservata, quindi forse non ci avevi fatto caso… o ti è finita in spam per sbaglio.

    Prova a verificare meglio, in caso contrario puoi inviare una PEC specificando che hai appreso dalle fonti di informazione del breach e vuoi sapere se sei coinvolto anche tu.


    Giusi, non c’è nessun elemento che porti a collegare gli eventi di aprile con il ransomware che ha colpito la Regione Lazio. Su quest’ultima vicenda purtroppo si stanno sentendo (e leggendo) un sacco di corbellerie in questi giorni, perciò vi suggerisco di fare particolare attenzione.

    Giusto per fare pochi esempi, ecco alcune delle sciocchezze senza fondamento che si sono lette:

    • L’attacco è arrivato dalla Germania
    • Sono stati i no-vax
    • Sistemi “andati in tilt” come fossero dei flipper
    • Attacco “molto potente” (che cos’è, Dragonball?)
    • Il più grande attacco mai successo nella storia dell’Italia

    Però sto divagando. 🙂

  4. Grazie Andrea,
    …è che dicono sia stata in primis violata una piattaforma che serve moltissime aziende..tra cui la Regione Lazio…per questo avrei messo in collegamento tali eventi…
    grazie di tutto Andrea!

  5. Buonasera. Ho uno SPID Aruba, era soggetto al data breach oppure no? Ho lasciato scadere la PEC mesi fa e ho ricevuto l’email oggetto dell’articolo, devo comunque mandare il modulo? La leggo sempre con interesse, grazie.

    1. era soggetto al data breach oppure no?

      Questa è una domanda a cui può rispondere soltanto Aruba. Per questo ritengo che ogni persona debba decidere se ritiene opportuno esigere una risposta ufficiale da parte dell’azienda.

      Io ho pubblicato una copia della mia lettera nella speranza che possa essere utile a qualcuno, poi ogni cliente può decidere se usarla o no come spunto. 🙂

  6. Ciao Andrea, ho fatto ed inviato la comunicazione come consigliato in data 3 agosto. Non ho ricevuto alcuna risposta. Tu? Hai consigli?

  7. Ho mandata la richiesta di chiarimenti sabato e ho già ricevuto la risposta. Affermano di aver preso il tempo necessario per fare i vari accertamenti e di aver comunicato alle Forze dell’Ordine e al Garante quanto avvenuto. Non escludono che i dati possano essere stati visualizati anche se non sono stati presi.

  8. La risposta che hai ricevuto mi sembra molto vaga. Che avessero informato il Garante era stato dichiarato anche nella comunicazione originale, ma questo non risponde in modo puntuale ai quesiti posti.

    Per esempio, ti hanno dato una copia esatta dei tuoi dati personali coinvolti nella violazione?

    Non escludono che i dati possano essere stati visualizati anche se non sono stati presi.

    Questa affermazione però è contraddittoria. Se i dati possono essere stati acceduti non possono escludere che siano stati “presi”.

    1. Mmm OK. Quindi in sostanza i dati non li hanno ancora forniti.

      La risposta è arrivata via email normale o PEC?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *