Postel ha ricevuto una multa di 900.000 euro dal Garante per la protezione dei dati personali, in quanto non ha adottato le misure necessarie alla risoluzione di due vulnerabilità che hanno portato al data breach di agosto 2023. Inoltre, la notifica inviata al Garante conteneva informazioni insufficienti sulla violazione.
Mancata applicazione delle patch
Postel ha comunicato il 13 agosto 2023 di aver subito un attacco ransomware, rivendicato dal gruppo Medusa, che ha causato il blocco di alcuni server e di alcune postazioni di lavoro. I cybercriminali ha sottratto i dati personali di circa 25.000 soggetti, tra cui dipendenti e rispettivi congiunti, dirigenti della società, partner commerciali e candidati a posizioni lavorative.
Successivamente sono state pubblicati nel dark web le informazioni rubate, tra cui dati anagrafici e di contatto, dati di accesso e identificazione, dati di pagamento, dati relativi a condanne penali e reati, dati che rivelano l’appartenenza sindacale e dati relativi allo stato di salute.
Il Garante ha riscontrato due principali violazioni del GDPR (Regolamento generale sulla protezione dei dati). La prima è l’invio di una notifica contenente informazioni incomplete sul data breach. In particolare, Postel non ha indicato i server colpiti e il tipo di vulnerabilità sfruttata dai cybercriminali.
La seconda, molto più grave, riguarda la mancata adozione delle misure di mitigazione e risoluzione delle due vulnerabilità. L’intrusione è stata facilita dalle vulnerabilità CVE-2022-41040 e CVE-2022-41082 di Microsoft Exchange. Nonostante le patch fossero disponibili da novembre 2022, Postel non aveva ancora aggiornato i sistemi alla data dell’attacco.
Per tali motivi, la società dovrà pagare una sanzione di 900.000 euro. Il Garante ha inoltre ordinato di effettuare una verifica delle vulnerabilità dei sistemi, di predisporre un piano per rilevare e gestire tali vulnerabilità e di individuare tempistiche di rilevamento e di risposta adeguate al rischio.