Ultimo aggiornamento: 2021/05/17 08:40.
Un altro giorno, un’altra collezione di scansioni di documenti d’identità lasciata online, accessibile a chiunque sappia usare Google. Non occorre conoscere password o altro: basta un banalissimo googledork. Il tweet qui accanto contiene tutto quello che serve sapere per trovare questi documenti.
Come è possibile? Molti documenti della pubblica amministrazione italiana
hanno in allegato una scansione della carta d’identità: ho trovato
registrazioni di liquidazioni di prestazioni, lettere commerciali di
affidamento lavori, persino una raccomandata spedita via PEC (ironicamente),
tutte con la loro brava scansione a colori, nitidissima, di un documento
d’identità, usata come “firma digitale”.
Nomi, cognomi, indirizzi, fotografie, estremi dei documenti, dettagli dei pagamenti effettuati o richiesti, codici IBAN, tutti lasciati online.
Chi è l’irresponsabile che ha messo tutti questi documenti in bella mostra su Internet? Il Ministero delle Infrastrutture e dei Trasporti.
A quanto pare chi ha progettato il sito non ha considerato che esiste Google, e che quindi se un file è accessibile senza dover fare login e digitare una password Google lo troverà e lo indicizzerà, permettendo a chiunque di trovarlo. In questo caso i file sono accessibili perché hanno un URL pubblico del tipo
http://trasparenza.mit.gov.it/moduli/downloadFile.php?file[stringa]/[nome file PDF]
Disastri di privacy come questo sono frequentissimi e sono ovviamente una miniera d’oro per qualunque malintenzionato che voglia procurarsi una scansione di un documento identificativo di qualcuno per impersonarlo, specialmente ora che la scansione viene considerata equivalente a una firma.
La prossima volta che qualcuno propone di depositare online una copia dei documenti d’identità, magari affidandola ai social network, allo scopo di obbligare tutti a identificarsi sui social e quindi proteggersi dai bulli, dai molestatori e dagli odiatori, ricordate questo caso.
Questa è la pubblica amministrazione di uno stato, che ha degli obblighi di legge, e li ha verso i propri cittadini. Figuratevi come può tutelare i vostri documenti personali un’azienda che ha la sede principale all’estero, risponde soltanto alle leggi del suo paese (forse), al posto dei cittadini ha degli utenti e ha come esplicito scopo commerciale la vendita dei dati dei propri utenti.
---
Aggiornamento (2021/05/14 00:10). Se qualcuno avesse in mente di
obiettare
“ma tanto non se ne fanno nulla di queste scansioni di documenti
d’identità, a chi vuoi che interessino”, questo è l’annuncio pubblicato oggi su un noto forum di compravendita di
dati trafugati: vengono offerti dieci euro per ogni carta d’identità.
---
Aggiornamento (2021/05/17 08:40). Di questo caso e di altri analoghi si sono occupati Matteo Flora e Guido Scorza in una puntata di Garantismi.