FFS FFS: circa un milione di dati trapelati dalla piattaforma per la vendita di biglietti

A causa di una lacuna nella piattaforma di vendita dei trasporti pubblici, uno specialista informatico è riuscito in pochi giorni a consultare circa 1 milione di dati.

Grazie alla sua segnalazione, il problema è stato immediatamente risolto, indicano oggi in una nota le FFS e Alliance SwissPass. I clienti non hanno subito alcun danno.

La potenziale fuga di dati è stata rilevata ad inizio 2022 nella piattaforma di distribuzione dei trasporti pubblici «NOVA» ed è dovuta a una vulnerabilità. Le Ferrovie federali svizzere e Alliance SwissPass, che riunisce 250 imprese di trasporto e 18 comunità tariffarie, si scusano per l'inconveniente.

Accesso con il vecchio meccanismo

I contorni della vicenda sono stati resi noti oggi. A fine 2020, le FFS avevano aumentato la sicurezza nelle procedure di rinnovo degli abbonamenti tramite la piattaforma in questione. Poiché, in seguito, i clienti di diverse imprese di trasporti pubblici non erano più riusciti a rinnovare i propri abbonamenti con facilità, a dicembre 2021 le FFS hanno ripristinato la possibilità di accedere con il vecchio meccanismo. Questo si è rivelato un errore dal momento che ha creato una falla nella sicurezza, si legge nella nota.

Uno specialista informatico esterno si è infatti imbattuto in questa vulnerabilità e a inizio gennaio 2022, in pochi giorni, è riuscito a consultare lo 0,2% dei dati, pari a circa un milione.

Informazioni su biglietti e abbonamenti

I dati contenevano informazioni sui biglietti acquistati e/o sul periodo di validità degli abbonamenti. Circa la metà era collegata esclusivamente a nome, cognome e data di nascita dei clienti dei trasporti pubblici. I dati non contenevano invece informazioni su domicilio, mezzi di pagamento, password o indirizzi e-mail. L'altra metà comprendeva informazioni impersonali sui biglietti acquistati ai distributori, si legge ancora nella nota.

Lo specialista informatico esterno ha segnalato subito alle FFS la falla e ha cancellato definitivamente i dati che era riuscito a scaricare. Grazie a questa segnalazione, le FFS hanno risolto immediatamente la vulnerabilità. Il recupero non autorizzato e automatico dei dati non è più possibile. Per questo motivo, scrivono ancora l'ex regia federale e Alliance SwissPass, i clienti non hanno subito alcun danno.

Mister dati e imprese trasporti informati

Le FFS hanno subito informato l'Incaricato federale della protezione dei dati e della trasparenza e le imprese dei trasporti pubblici coinvolte. È stata inoltre avviata un'indagine interna per determinare la causa dell'errore.

«Le Ferrovie federali sono estremamente attive a livello di sicurezza informatica e compiono grandi sforzi soprattutto per quanto riguarda i dati dei clienti. I sistemi informatici sono costantemente analizzati per prevenire possibili attacchi», conclude il comunicato.

mp, ats