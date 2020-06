NAPOLI. Attacco informatico al sito del Comune di Napoli, dove dall'area riservata sono stati prelevati dati sensibili degli utenti.

Nel fine settimana appena trascorso il Comune di Napoli è stato informato attraverso una email del Csirt italiano di un possibile attacco informatico ai server su cui è ospitato il sito web istituzionale comune.napoli.it. Il Csirt ha comunicato che sul sito internet raidforums.com risultavano pubblicati i dati personali degli utenti registrati al sito comune.napoli.it (nome, cognome, email, username e password di accesso alla sola community web del portale, cioè alle newsletter presenti sul sito istituzionale).

Il Comune di Napoli ha attivato la società che si occupa della gestione dei server e del software per la gestione dei contenuti del sito effettuando, in tempi rapidissimi, nell’ordine di poco meno di due ore, il cambio massivo automatico delle password di tutti gli utenti – esclusivamente quelli iscritti alle newsletter - del sito comune.napoli.it inserendo, per ciascuno di essi, una password complessa costituita da una stringa casuale di 32 caratteri criptata.

La vulnerabilità coinvolge, insomma, solo una specifica applicazione del sito (e cioè l’accesso alle newsletter) che è stata ovviamente messa subito offline. I dati personali oggetto dell'attacco sono da considerarsi comuni e le credenziali di autenticazione consentivano unicamente di accedere al sito per usufruire del solo servizio di newsletter.

Nessun ulteriore dato personale dell'utente, rispetto a quelli sopra indicati, era accessibile in seguito all'autenticazione.

È stata inviata agli utenti una comunicazione via email relativa alla violazione di sicurezza invitandoli a reimpostare la propria password per il sito comune.napoli.it e suggerendo agli stessi di cambiare le credenziali di accesso anche per altri siti o piattaforme solo nel caso in cui avessero utilizzato le stesse credenziali (nome utente e password) usate per l’iscrizione alla newsletter.

Il Comune ha notificato anche al Garante per la privacy la violazione dei dati personali (data breach) in base alle previsioni del Regolamento (UE) 2016/679 ed ovviamente presenterà nelle prossime ore dettagliata denuncia alla polizia postale per reati telematici.