Durante il mese di agosto, si è riscontrato un certo numero di segnalazioni di accessi non regolari ed abusi nell’utilizzo del portale.
Repas ha attivato immediatamente verifiche aggiuntive sui propri sistemi, rilevando che tali abusi si sono verificati tramite l’impiego delle credenziali legittime appartenenti ad un ristretto gruppo di utenti (meno dello 0,003% del totale).
Nell’escludere, quindi, qualsiasi compromissione dei sistemi di Repas e volendo comunque assicurare il maggior livello di tutela possibile per i propri utenti, si è scelto di interrompere temporaneamente i servizi coinvolti nelle segnalazioni per consentire tutte le verifiche necessarie e dovute a fugare ogni dubbio.
L’esito delle verifiche ha confermato che le attività fraudolente hanno avuto luogo tramite l’utilizzo di credenziali sottratte agli utenti tramite canali estranei a Repas.
Proprio a seguito di questa analisi e in considerazione del fatto che Repas ha fatto da sempre della sicurezza uno dei punti cardine del proprio operato, comunichiamo di aver ripristinato i servizi coinvolti nelle segnalazioni dopo aver messo in atto una serie di azioni per tutelare ulteriormente gli utenti:
1) Nuovi criteri di impostazione e cambio password
Abbiamo introdotto nuovi criteri per garantire maggiore robustezza della password. Le nuove password generate devono includere una lunghezza minima di 12 caratteri e l’uso di numeri, maiuscole, minuscole e simboli. Abbiamo inoltre richiesto l’adozione degli stessi criteri a tutti, forzando il cambio delle password esistenti. Inoltre, la funzionalità di cambio password diretto, che finora è stata disponibile sul portale, è stata rafforzata e richiede oggi un passaggio di conferma attraverso la casella email dell’utente. Anche questa funzionalità aiuta a prevenire degli abusi qualora qualcuno entrasse in possesso delle vostre credenziali.
Cogliamo l’occasione per ricordare quanto sia importante utilizzare password differenti nei diversi servizi, anche esterni a Repas.
2) Introduzione meccanismo verifica Captcha
Abbiamo introdotto il meccanismo di verifica captcha per rafforzare le protezioni dei sistemi Repas contro i tentativi di abuso automatizzati. Questi meccanismi servono a verificare che sia davvero un umano ad eseguire l’accesso e pertanto costituiscono uno strumento di protezione efficace.
3) Notifica di accesso
Abbiamo attivato per tutti gli account un servizio di notifica, che invierà una email ogni qualvolta venga eseguito un accesso sospetto (per esempio quando avviene un accesso da una località o da una connessione non abituale). Qualora doveste ricevere un alert di attività sospetta, nella email troverete tutte le indicazioni per segnalare a Repas l’abuso ed avere rapidamente istruzioni sulle prime attività da svolgere per la vostra tutela. Il nostro team di risposta si attiverà subito per tutte le verifiche del caso.
4) Nuova procedura di generazione PIN Personale e sistema di notifica
È stato introdotto un nuovo meccanismo per generare il PIN Personale, aumentando il livello di sicurezza. Il nuovo meccanismo richiede di avere a vostra disposizione la card Repas.
Se già facevate uso del PIN Personale sarà necessario generare un nuovo PIN Personale attraverso il Portale Utilizzatori.
Inoltre, abbiamo attivato una notifica ogni volta che un PIN Personale viene generato. Qualora doveste ricevere un alert di attività sospetta, potrete segnalare al team Repas l’accaduto per avere immediato riscontro.
5) QR Code e PIN personale in App
L’attuazione delle nuove misure di sicurezza ha imposto la disabilitazione temporanea del QR Code e della generazione del PIN Personale all’interno dell’app MyRepas. Con il prossimo rilascio, di cui vi daremo comunicazione, le modalità verranno ripristinate.
Il team Repas