Ultimo aggiornamento: 2023/02/01 16:05.
Non si capisce se sia incoscienza, disinvoltura o ignoranza, ma è impressionante la quantità di organizzazioni che mette su alla bell’e meglio una pagina Web con i dati personali dei dipendenti, clienti o collaboratori “perché così è comodo e possiamo consultarli facilmente”.
Vero, è comodo, ma altrettanto facilmente può consultarli anche chiunque altro. A quanto pare non è ancora stata capita diffusamente la lezione fondamentale che non basta non dire a nessuno dove si trovano i dati e così nessuno li troverà: bisogna proteggerli attivamente. Perché ormai da anni ci sono i motori di ricerca generalisti, come Google, che permettono di trovare le pagine Web pubblicamente raggiungibili anche senza conoscerne l’indirizzo, e ci sono i motori di ricerca specializzati, come Shodan, che esplorano tutta Internet e catalogano i siti che hanno servizi troppo accessibili e quindi vulnerabili.
Ieri (30 gennaio) ho
segnalato
il caso di un elenco di clienti assicurativi della zona di Chieti,
allegramente consultabile e modificabile da chiunque da chissà quanto tempo
fino alla mia segnalazione; oggi (31 gennaio) è il turno di un servizio di
soccorso sanitario della Lombardia, che pubblica su una pagina Web accessibile
a Google (e a chiunque abbia un browser) nomi, cognomi, indirizzi, numeri di
telefono e orari degli utenti che si avvalgono dei suoi servizi e molti altri
dati, compresi i nomi e cognomi, le firme e i numeri delle carte di identità e
delle patenti di numerosi soccorritori volontari o professionisti.
Il primo febbraio, per esempio, Mattea B. doveva essere trasportata da Predore
a Sarnico; il 2 febbraio Mario, telefono 34879*****, doveva essere portato da
Villongo all’ospedale di Iseo; il 14 febbraio la signora Teresa, telefono
32987******, verrà trasportata da Villongo alla clinica Sant’Anna di Brescia,
e così via (le date sono visualizzate nel formato statunitense
mese-giorno-anno). Per ciascun utente è indicata anche la situazione
medica che rende necessario il trasporto.
E poi ci sono nomi, cognomi e ruoli del personale, con tanto di firma digitalizzata:
C’è anche un elenco di “personale che non timbra da più di 3 settimane”:
Tutto in HTTP; niente HTTPS, su un indirizzo IP di Telecom Italia, aperto sulle porte 443, 8045, 8445, 8545 (sulla 80 c’è una login a una VPN in HTTPS). Non ho trovato il modo di capire chi sia il responsabile di queste pagine e avvisarlo; nell’HTML non ci sono informazioni di identità e anche un reverse DNS lookup non trova nulla. Se avete idee, segnalatele nei commenti.
Già è brutto che vengano disseminati i dati sanitari degli utenti, ma c’è un problema peggiore: questi dati possono essere un appiglio perfetto per compiere truffe o raggiri ai danni delle persone coinvolte. Giusto per fare un esempio, se qualche truffatore o malintenzionato telefonasse alla signora Teresa fingendo di essere un addetto al servizio trasporto utenti e le dicesse che il suo trasporto (di cui cita tutti i dettagli) avrà un costo aggiuntivo e che passerà un incaricato a riscuoterlo, probabilmente la signora ci crederebbe e aprirebbe la porta di casa all’“incaricato”.
A un livello più sofisticato, un malvivente potrebbe approfittare del fatto che sa di questa violazione della privacy e contattare i responsabili del sito chiedendo bitcoin per non segnalare l’accaduto al Garante; se non chiedesse troppo, avrebbe buone probabilità di incassare, perché l’estorsione costerebbe meno di quello che costerebbe la sanzione del Garante più le spese legali e quelle per mettere a posto il sito.
Questi sono solo i primi due scenari che mi vengono in mente, e io non sono un criminale informatico, che sicuramente avrà più inventiva di me.
---
2023/02/01 16:05. Ho ricevuto una mail dall’Agenzia Regionale Emergenza Urgenza che mi segnala che con le informazioni che ho fornito privatamente all’AREU è stato possibile risalire all’Associazione di Soccorso e contattarne i responsabili.
---
2023/02/02 11:30. I dati non sono più accessibili via Internet.
Nessun commento:
Posta un commento