Posted on

Napoli – Il CSIRT ha comunicato che sul sito Internet raidforums.com risultavano pubblicati i dati personali degli utenti registrati al sito www.comune.napoli.it (nome, cognome, email, username e password di accesso alla sola community web del portale, cioè alle newsletter presenti sul sito istituzionale ).

Non appena ricevuta la segnalazione del CSIRT il Comune di Napoli ha attivato la società che si occupa della gestione dei server e del software per la gestione dei contenuti del sito effettuando, in tempi rapidissimi, nell’ordine di poco meno di due ore,  il cambio massivo automatico delle password di tutti gli utenti – esclusivamente quelli iscritti alle newsletter – del sito www.comune.napoli.it inserendo, per ciascuno di essi, una password complessa costituita da una stringa casuale di 32 caratteri criptata.
La vulnerabilità coinvolge, insomma, solo una specifica applicazione del sito ( e cioè l’accesso alle newsletter ) che è stata ovviamente messa subito offline.

I dati personali oggetto dell’attacco sono da considerarsi comuni e le credenziali di autenticazione  consentivano unicamente di accedere al sito per usufruire del solo servizio di newsletter. Nessun ulteriore dato personale dell’utente, rispetto a quelli sopra indicati, era accessibile in seguito all’autenticazione.
E’ stata inviata agli utenti una comunicazione via email relativa alla  violazione di sicurezza invitandoli a reimpostare la propria password per il sito www.comune.napoli.it e suggerendo agli stessi di cambiare
le credenziali di accesso anche per altri siti o piattaforme solo nel caso in cui avessero utilizzato le stesse credenziali (nome utente e password) usate per l’iscrizione alla newsletter.
Il Comune ha notificato anche al Garante per la privacy la violazione dei dati personali (data breach) in base alle previsioni del Regolamento (UE) 2016/679 ed ovviamente presenterà nelle prossime ore dettagliata denuncia alla polizia postale per reati telematici.