Il portale abbonamenti del Consorzio Unico Campania, piattaforma utilizzata per la gestione dell’abbonamento trasporto pubblico studenti gratuito, degli abbonamenti mensili e del rimborso abbonamenti legato, inoltre, all’emergenza Covid 19, ha subito un attacco informatico mediante il quale sono stati resi pubblici parte dei dati personali di numerosi utenti.
Dallo stesso sito si è presa notizia della violazione in quanto vi è stata una pubblicazione di un file contenente email e password degli utenti.
Seppur rimosso subito dal sito, vi sono nel web più file che circolano con 2770 pagine che contengono 166189 coppie di email e password. Non è stato però finora possibile capire con precisione a quando risalirebbero i dati riportati nell’elenco e quando sia avvenuta la violazione. Allo stesso modo non si riesce a capire come è stata possibile questa divulgazione, forse i dati non erano realmente criptati o, come spesso accade per la tutela dei dati personali, il Consorzio si sarà affidato ad un algoritmo sicuro ma per il quale era possibile accedere alle “chiavi” necessarie per risalire alle password.
Dalla pagina Facebook del Consorzio si evince solo questo comunicato: “In merito alla pubblicazione di mail e password di accesso alla piattaforma abbonamenti, il Consorzio Unico Campania precisa che si tratta di dati di archiviazione delle pregresse campagne 2016 e 2017 e che gli stessi erano criptati all’interno dei database”.
Data breach e data breach notification
Il Consorzio ha provveduto ad attivare la procedura per i data breach e sono in corso tutte le necessarie valutazioni per notificare puntualmente l’accaduto al Garante per la privacy, agli interessati, nonché per effettuare la denuncia alle Autorità competenti.
Spetterà al Garante indagare per quantificare la violazione e provvedere contro la negligenza del Consorzio; in attesa di un riscontro si consiglia agli utenti di modificare le proprie credenziali quanto prima anche se il sito risulta ancora bloccato.