Ultimo aggiornamento: 2023/03/10 9:50. 

Dopo anni di GDPR e di tentativi di fare educazione alla protezione dei dati, succedono ancora cose come questa: sto ricevendo segnalazioni multiple di un sito italiano che raccoglie prenotazioni per servizi di comuni e di strutture ospedaliere e espone pubblicamente tutti i dati di chi lo usa.

I dati sono accessibili semplicemente usando un qualunque browser e visitando un indirizzo Web estremamente banale: non servono login, password o altro. Comodamente ripartiti per Comune o ente ospedaliero, si trovano nomi, cognomi, luoghi di nascita, date di nascita, codici fiscali, date e orari di prenotazione e relative motivazioni. Ci sono anche prenotazioni di “procedure sanzionatorie” di almeno una polizia municipale.

Per ovvie ragioni di responsible disclosure per ora non posso pubblicare il nome del sito, mostrare screenshot o citare testualmente i contenuti mandati a spasso. Posso solo dire che i servizi sanitari e comunali coinvolti sono decine, che i dati degli utenti messi in pubblico sono centinaia e che il sito è gestito da una Srl della zona di Torino.

Sarebbe assolutamente banale, per un truffatore o un vandalo, telefonare al signor Claudio che si è rivolto a questo sito per prenotare un servizio presso il Comune di Vittorio Veneto e dirgli che il suo appuntamento è stato annullato oppure che c’è una tassa da pagare anticipatamente. Il truffatore avrebbe tutti i dati necessari per sembrare estremamente credibile e quindi farsi pagare l’inesistente tassa tramite carta di credito. Anche i truffatori che usano la tecnica del “falso nipote” farebbero indigestione con questi dati. E posso solo immaginare i danni e i disagi che si potrebbero causare ad Alessia, per esempio telefonandole e dicendo che c’è un problema serio con il verbale di polizia numero 503*****/2022/R che la riguarda.

“Se vuoi informarti su come trattiamo i tuoi dati clicca qui”, dice il sito (ho cambiato alcune parole per evitare di facilitarne l’identificazione), linkando la propria privacy policy. Purtroppo so già benissimo come vengono trattati, e potrei descriverlo con parole forse poco tecniche ma sicuramente molto colorite e concise. Ma questo è un blog per famiglie e quindi mi trattengo.

Ho inviato immediatamente una PEC al DPO del sito, mettendo in copia il Garante per la Privacy italiano (protocollo(chiocciola)pec.gpdp.it), come suggerito qui e come indicato nella sua pagina dei contatti.

Oggetto: Dati personali pubblicamente accessibili 

Buongiorno, sono un giornalista informatico collaboratore della Radiotelevisione Svizzera.

Mi arrivano segnalazioni multiple di dati sensibili di utenti che sono pubblicamente accessibili a chiunque con una semplice consultazione via Web sul sito [***omissis***]. Presumo quindi che la falla sia ormai nota e circolante.

URL: [***omissis***]

Allego campione in coda a questa mail.

Per qualunque chiarimento potete telefonarmi al mio numero diretto [***omissis***].

Cordiali saluti

Paolo Attivissimo

[***campione di dati omesso***]

La mia PEC di avviso è stata spedita oggi alle 16:56 italiane ed è stata regolarmente consegnata alla casella di destinazione del Garante; non ho conferme di consegna all’indirizzo mail del DPO, che è una casella di mail normale (non PEC). 

Vediamo cosa succede. Intanto ringrazio le persone che mi hanno segnalato il problema. Se a qualcuno dovesse servire, la modulistica per reclami e segnalazioni presso il Garante italiano è qui; la relativa scheda informativa è invece qui.

---

2023/03/10 9:50. Ieri ho ricevuto dai gestori del sito una mail nella quale mi hanno comunicato di aver corretto la falla e di essersi attivati per la segnalazione del data breach al Garante e per tutte le comunicazioni opportune. In effetti a un primo controllo non sembrano esserci dati personali visibili.

Un altro giorno, un’altra segnalazione di dati personali a spasso, pronti per essere raccattati dal primo criminale informatico che passa ed essere usati come punto di partenza per attacchi informatici e truffe di ogni sorta.

Mi è stato segnalato un indirizzo IP italiano, sulla rete Eolo, che propone una pagina aperta a tutti che ospita un form di immissione dati:

Il form cita Artoni, che è una società di logistica italiana, ma i dati a spasso non sono colpa sua; la pagina che li diffonde è probabilmente di un’azienda che usa Artoni per le proprie spedizioni di merci.

Il form da solo non dice granché, ma non c’è bisogno di provare a immettere dati a caso sperando di trovare qualche corrispondenza: sarebbe molto improbabile e tedioso. Come capita spesso in tanti database, anche questo form ha una caratteristica elementare, utilissima per chi vuole rastrellare dati: premendo semplicemente il pulsante Cerca, senza immettere nulla, elenca tutti i dati dell’intero archivio, che sono circa un migliaio. Una tecnica classica, che qualunque scraper o raccattatore di informazioni conosce e applica.

Cliccando sui link delle singole ordinazioni si possono vedere i dettagli: per esempio quelli dell’azienda di Urbisaglia, in provincia di Macerata, che paga con ricevuta bancaria a 60 giorni fine mese e ordina circa 600 capsule di caffè e spende quasi 600 euro, o quelli della signora Antonella, di Genova, che paga le sue capsule di caffè con la carta di credito.

Sapere i dati di chi compra caffè forse non sembra un grosso problema di sicurezza, visto che il consumo di questa bevanda non è particolarmente controverso o privato, ma ovviamente il problema non è il prodotto acquistato, ma il fatto che i dati dei clienti siano accessibili a chiunque, anche a malintenzionati.

L’esempio più banale di questo problema è che un criminale potrebbe usare le informazioni per chiamare la signora Antonella di Genova spacciandosi per un addetto del servizio di sicurezza delle carte di credito che le telefona per un controllo e dicendole con tono rassicurante che sta solo verificando che lei abbia regolarmente acquistato quello specifico prodotto. Il criminale potrebbe conquistarsi facilmente la fiducia della vittima descrivendole in dettaglio che cosa ha acquistato e quando lo ha acquistato, se ha ricevuto correttamente la merce o se vuole fare reclamo, e poi potrebbe chiederle, con la massima disinvoltura, “Sempre per un controllo di sicurezza, signora C*******, mi conferma i dati della carta con la quale ha effettuato il pagamento? Perché qui risulta che l’acquisto è stato segnalato come fraudolento e non vorrei che ci fosse un equivoco. Sarebbe un peccato bloccarle la carta di credito per errore.”

Certo, non tutti cadranno nella trappola e comunicheranno i dati della propria carta di credito, che il criminale potrà poi usare per commettere frodi. Ma con migliaia di nominativi a disposizione in questo singolo archivio, prima o poi troverà qualcuno che ci cadrà. E al criminale basta avere successo solo una volta ogni tanto.

Purtroppo non sembrano esserci dati utili per risalire all’identità del gestore maldestro di questa pagina Web, ma ho provato a contattare via mail alcuni clienti per chiedere se se la sentono di dirmi il nome della ditta alla quale hanno fatto l’ordinazione. Finora non ha risposto nessuno.

Ultimo aggiornamento: 2023/02/01 16:05. 

Non si capisce se sia incoscienza, disinvoltura o ignoranza, ma è impressionante la quantità di organizzazioni che mette su alla bell’e meglio una pagina Web con i dati personali dei dipendenti, clienti o collaboratori “perché così è comodo e possiamo consultarli facilmente”.

Vero, è comodo, ma altrettanto facilmente può consultarli anche chiunque altro. A quanto pare non è ancora stata capita diffusamente la lezione fondamentale che non basta non dire a nessuno dove si trovano i dati e così nessuno li troverà: bisogna proteggerli attivamente. Perché ormai da anni ci sono i motori di ricerca generalisti, come Google, che permettono di trovare le pagine Web pubblicamente raggiungibili anche senza conoscerne l’indirizzo, e ci sono i motori di ricerca specializzati, come Shodan, che esplorano tutta Internet e catalogano i siti che hanno servizi troppo accessibili e quindi vulnerabili.

Ieri (30 gennaio) ho segnalato il caso di un elenco di clienti assicurativi della zona di Chieti, allegramente consultabile e modificabile da chiunque da chissà quanto tempo fino alla mia segnalazione; oggi (31 gennaio) è il turno di un servizio di soccorso sanitario della Lombardia, che pubblica su una pagina Web accessibile a Google (e a chiunque abbia un browser) nomi, cognomi, indirizzi, numeri di telefono e orari degli utenti che si avvalgono dei suoi servizi e molti altri dati, compresi i nomi e cognomi, le firme e i numeri delle carte di identità e delle patenti di numerosi soccorritori volontari o professionisti.

Il primo febbraio, per esempio, Mattea B. doveva essere trasportata da Predore a Sarnico; il 2 febbraio Mario, telefono 34879*****, doveva essere portato da Villongo all’ospedale di Iseo; il 14 febbraio la signora Teresa, telefono 32987******, verrà trasportata da Villongo alla clinica Sant’Anna di Brescia, e così via (le date sono visualizzate nel formato statunitense mese-giorno-anno). Per ciascun utente è indicata anche la situazione medica che rende necessario il trasporto.

E poi ci sono nomi, cognomi e ruoli del personale, con tanto di firma digitalizzata:

C’è anche un elenco di “personale che non timbra da più di 3 settimane”:

Tutto in HTTP; niente HTTPS, su un indirizzo IP di Telecom Italia, aperto sulle porte 443, 8045, 8445, 8545 (sulla 80 c’è una login a una VPN in HTTPS). Non ho trovato il modo di capire chi sia il responsabile di queste pagine e avvisarlo; nell’HTML non ci sono informazioni di identità e anche un reverse DNS lookup non trova nulla. Se avete idee, segnalatele nei commenti.

Già è brutto che vengano disseminati i dati sanitari degli utenti, ma c’è un problema peggiore: questi dati possono essere un appiglio perfetto per compiere truffe o raggiri ai danni delle persone coinvolte. Giusto per fare un esempio, se qualche truffatore o malintenzionato telefonasse alla signora Teresa fingendo di essere un addetto al servizio trasporto utenti e le dicesse che il suo trasporto (di cui cita tutti i dettagli) avrà un costo aggiuntivo e che passerà un incaricato a riscuoterlo, probabilmente la signora ci crederebbe e aprirebbe la porta di casa all’“incaricato”.

A un livello più sofisticato, un malvivente potrebbe approfittare del fatto che sa di questa violazione della privacy e contattare i responsabili del sito chiedendo bitcoin per non segnalare l’accaduto al Garante; se non chiedesse troppo, avrebbe buone probabilità di incassare, perché l’estorsione costerebbe meno di quello che costerebbe la sanzione del Garante più le spese legali e quelle per mettere a posto il sito.

Questi sono solo i primi due scenari che mi vengono in mente, e io non sono un criminale informatico, che sicuramente avrà più inventiva di me.

---

2023/02/01 16:05. Ho ricevuto una mail dall’Agenzia Regionale Emergenza Urgenza che mi segnala che con le informazioni che ho fornito privatamente all’AREU è stato possibile risalire all’Associazione di Soccorso e contattarne i responsabili.

---

2023/02/02 11:30. I dati non sono più accessibili via Internet.

Ultimo aggiornamento: 2023/01/02 10:15. L’articolo è stato riscritto per tenere conto degli aggiornamenti e per fornire un contesto più ampio.

Quasi sempre i criminali informatici vengono immaginati e rappresentati come maghi della tastiera che sanno scovare e rubare qualunque dato digitale usando tecniche di penetrazione sofisticatissime, ma spesso queste tecniche non sono affatto necessarie, perché i dati sono stati messi maldestramente a disposizione del primo che passa e sono accessibili via Internet da chiunque abbia una minima capacità informatica.

Per esempio, pochi giorni fa mi è arrivata in via confidenziale la segnalazione di un sito aperto a chiunque che contiene quello che sembra essere un elenco di dati assicurativi di clienti italiani, probabilmente della zona di Chieti. Nomi, cognomi, indirizzi, codici fiscali, dettagli delle polizze assicurative, e altro ancora.

Ma soprattutto contiene una voce dell’elenco che non è un nome e cognome di cliente ma è un avviso: “Buongiorno questo database è accessibile a chiunque via Internet”, tutto in maiuscolo. Segno che qualcuno ha già trovato questo archivio, si è accorto che è non solo leggibile da chiunque ma è anche modificabile da chiunque, e ha pensato di lasciare un cordiale ma ben visibile avviso.

Trovare queste perle non è difficile. Esistono motori di ricerca appositi, come Shodan, che ho citato tante volte qui e che fanno la stessa cosa che fa Google, ossia esplorano e catalogano tutta Internet, e prendono nota dei siti che hanno degli accessi non protetti. È sufficiente sfogliare uno di questi motori di ricerca per trovare di tutto: telecamere di sorveglianza accessibili, server leggibili e scrivibili da chiunque, e pagine Web come questa. Esattamente come con Google, è sufficiente immettere le parole chiave giuste.

E a proposito di Google, molto spesso questi siti vulnerabili sono catalogati anche da Google, appunto, anche se trovarli in questo modo richiede molta più fatica. Infatti nel caso che mi è stato segnalato, il sito contenente l’archivio di dati personali di assicurati italiani è non solo reperibile in Google ma è anche nella sua cache, ossia nella copia temporanea che Google fa di tutti i siti che visita. Questo vuol dire che i dati saranno accessibili, almeno in parte, anche per qualche tempo dopo che il sito lasciato incautamente aperto sarà stato finalmente messo in sicurezza.

Qualche giorno fa ho contattato via mail quella che credo sia la ditta responsabile, la cui identità è trovabile frugando pazientemente in dettaglio nei dati e documenti pubblicamente accessibili. Mentre attendevo la risposta, ho notato che l’archivio non risultava più pubblicamente accessibile via Internet, anche se la copia cache è tuttora presente in Google. Probabilmente l’avviso lasciato in bella vista ha attirato positivamente l’attenzione dei responsabili del sito. Non è una soluzione elegante, ma perlomeno è efficace.

Finora non ho ricevuto nessuna risposta formale dalla ditta in questione, ma mi è arrivato un messaggio Telegram di qualcuno che sembra parlare a nome di questa ditta e dice che si tratta di “una versione alfa non in produzione” che contiene “dati totalmente fittizi anche se costruiti coerentemente”. Non ho modo di verificare questa dichiarazione e posso solo sperare che la versione definitiva sia un po’ meno accessibile e disinvoltamente scrivibile di questa, perché provare un database lasciandolo aperto a tutti su Internet, in modo che possa essere riscritto, cancellato o devastato dal primo vandalo che passa, non è comunque una buona prassi di sicurezza informatica.