24.01.2022 - 12:31
Aggiornamento: 16:22

Ffs, una vulnerabilità ha esposto un milione di dati SwissPass

Il problema, segnalato da uno specialista informatico, è stato immediatamente risolto senza alcun danno per i clienti

Ats, a cura de laRegione
ffs-una-vulnerabilita-ha-esposto-un-milione-di-dati-swisspass
Keystone

A causa di una lacuna nella piattaforma di vendita dei trasporti pubblici, uno specialista informatico è riuscito in pochi giorni a consultare circa 1 milione di dati. Grazie alla sua segnalazione, il problema è stato immediatamente risolto, indicano oggi in una nota le Ffs e Alliance SwissPass. I clienti non hanno subito alcun danno.

La potenziale fuga di dati è stata rilevata a inizio 2022 nella piattaforma di distribuzione dei trasporti pubblici “NOVA” ed è dovuta a una vulnerabilità. Le Ferrovie federali svizzere e Alliance SwissPass, che riunisce 250 imprese di trasporto e 18 comunità tariffarie, si scusano per l’inconveniente.

Accesso con il vecchio meccanismo

I contorni della vicenda sono stati resi noti oggi. A fine 2020, le Ffs avevano aumentato la sicurezza nelle procedure di rinnovo degli abbonamenti tramite la piattaforma in questione. Poiché, in seguito, i clienti di diverse imprese di trasporti pubblici non erano più riusciti a rinnovare i propri abbonamenti con facilità, a dicembre 2021 le Ffs hanno ripristinato la possibilità di accedere con il vecchio meccanismo. Questo si è rivelato un errore dal momento che ha creato una falla nella sicurezza, si legge nella nota.

Uno specialista informatico esterno si è infatti imbattuto in questa vulnerabilità e a inizio gennaio 2022, in pochi giorni, è riuscito a consultare lo 0,2% dei dati, pari a circa un milione.

Informazioni su biglietti e abbonamenti

I dati contenevano informazioni sui biglietti acquistati e/o sul periodo di validità degli abbonamenti. Circa la metà era collegata esclusivamente a nome, cognome e data di nascita dei clienti dei trasporti pubblici. I dati non contenevano invece informazioni su domicilio, mezzi di pagamento, password o indirizzi e-mail. L’altra metà comprendeva informazioni impersonali sui biglietti acquistati ai distributori, si legge ancora nella nota.

Lo specialista informatico esterno ha segnalato subito alle Ffs la falla e ha cancellato definitivamente i dati che era riuscito a scaricare. Grazie a questa segnalazione, le Ffs hanno risolto immediatamente la vulnerabilità. Il recupero non autorizzato e automatico dei dati non è più possibile. Per questo motivo, scrivono ancora l’ex regia federale e Alliance SwissPass, i clienti non hanno subito alcun danno.

Mister dati e imprese trasporti informati

Le Ffs hanno subito informato l’Incaricato federale della protezione dei dati e della trasparenza e le imprese dei trasporti pubblici coinvolte. È stata inoltre avviata un’indagine interna per determinare la causa dell’errore.

“Le Ferrovie federali sono estremamente attive a livello di sicurezza informatica e compiono grandi sforzi soprattutto per quanto riguarda i dati dei clienti. I sistemi informatici sono costantemente analizzati per prevenire possibili attacchi”, conclude il comunicato.

Potrebbe interessarti anche
© Regiopress, All rights reserved