Tra maggio 2021 e gennaio 2022 oltre 1'700 dati non erano protetti. Ora il problema è stato risolto
BERNA - È stata scoperta una falla nel portale clienti di AutoPostale, ticketcontrol.ch. Ne ha dato notizia la SRF, secondo cui dopo un controllo i documenti della clientela erano accessibili su internet e potevano essere scaricati. L'operatore ha fatto sapere che il problema è stato risolto.
«Siamo stati informati dalla SRF che una società esterna di sicurezza informatica aveva portato il caso alla sua attenzione», ha affermato AutoPostale all'agenzia di stampa Keystone-ATS, aggiungendo che la lacuna aveva portato i dati a finire non protetti in una cache e a non essere cancellati automaticamente come previsto. Il problema è stato immediatamente risolto, ha precisato l'azienda, aggiungendo di essere dispiaciuta, «la protezione dei dati è la nostra massima priorità».
Il sito in questione è una piattaforma per i clienti di AutoPostale che vogliono porre domande dopo un controllo dei biglietti, richiedere una proroga o mostrare successivamente un titolo di trasporto che non avevano con loro al momento del controllo.
AutoPostale suppone che 1'776 dati non sono stati protetti in un lasso di tempo che va da maggio 2021 a gennaio di quest'anno. Sono ancora in corso accertamenti per chiarire se siano stati usati in modo improprio. Le prime analisi mostrano che ci sono stati 745 accessi, ha precisato AutoPostale. Si tratta di accessi automatizzati, soprattutto da parte di due società di sicurezza informatica.
Secondo Adrian Lobsiger, Incaricato federale della protezione dei dati e della trasparenza (IFPDT), il caso è «grave». Il fatto che l'accesso sia stato possibile senza un alto livello di competenze dimostra che i dati in questione non erano protetti nella misura richiesta dalla legge, ha rilevato.
Boom di casi - Questa falla va ad aggiungersi alle molte emerse di recente in vari settori. All'inizio della settimana si è appreso che a causa di una lacuna nella piattaforma di vendita dei trasporti pubblici, uno specialista informatico è riuscito in pochi giorni a consultare circa un milione di dati.
La settimana scorsa, lo stesso Lobsiger ha avviato una procedura di accertamento a causa dei dubbi sulla sicurezza nel registro digitale nazionale delle donazioni di organi della fondazione Swisstransplant. Secondo una ricerca condotta dal programma Kassensturz della televisione SRF, sarebbe stato possibile rendere una persona un donatore di organi a sua insaputa.
Il numero crescente di incidenti di questo tipo dimostra che gli operatori devono investire più risorse per la sicurezza, secondo Lobsiger. A suo avviso dovrebbero essere eseguiti regolarmente audit esterni, specialmente per i sistemi che presentano un elevato rischio per le persone interessate.