Ultimo aggiornamento: 2021/06/15 17:40.
A gennaio scorso ho trovato un sito statale italiano che mette a disposizione
di chiunque i CV di avvocati, autorizzazioni di contratti, fatture con nomi,
IBAN, cognomi e importi, scansioni di documenti d’identità. Tutto facilmente
reperibile con una semplice ricerca in Google.
Ho avvisato il sito via mail il 28 gennaio:
Buongiorno,
sono un giornalista informatico. Da segnalazione
confidenziale mi
risulta che sul vostro sito siano disponibili a
chiunque, con semplice
ricerca in Google, documenti contenenti
informazioni confidenziali o
sensibili, comprese immagini di carte
d’identità.Esempio: [omissis]
Allego immagine
opportunamente anonimizzata.Segnalo questa situazione affinché
possiate rimediare.Cordiali saluti
Paolo
Attivissimo
Siamo al 2 aprile: non ho ricevuto nessun riscontro e i dati sono tuttora a
disposizione di chiunque.
Trovo davvero vergognoso che nel 2021 un ente di stato non solo non sia capace
di tutelare digitalmente i suoi utenti ma non abbia nemmeno la cortesia di
rispondere a chi segnala educatamente il problema in privato.
Sottolineo che tutti questi dati, sotto forma di documenti PDF, sono
reperibili semplicemente con una ricerca banale in Google. Non ci vuole
nessuna password o conoscenza informatica sofisticata. È deprimente.
Stasera ho mandato una
segnalazione dettagliata al
CSIRT (Computer Security Incident Response Team) della Presidenza del
Consiglio dei Ministri.
Poi la gente mi chiede perché segnalo pubblicamente questi casi invece di
limitarmi a contattare in privato gli interessati. Semplice: gli interessati
non sono interessati. Si muovono solo se vengono denunciati pubblicamente per
la loro inettitudine. E a volte neanche così.
—
2021/04/07 8:30. I dati sono ancora perfettamente accessibili. Un
esempio (immagine parziale per proteggere i malcapitati):
2021/04/11 15:00. I dati sono ancora accessibili come prima.
2021/04/22 13:25. Nessun cambiamento.
Dati di avvocati italiani liberamente accessibili online. Li ho avvisati a
gennaio scorso. Niente. Visto il perdurare, ho avvisato lo CSIRT il 2
aprile.I dati sono ancora lì a disposizione del primo che passa.
pic.twitter.com/sNco6TyKhs— Paolo Attivissimo (@disinformatico)
April 22, 2021
—
2021/05/04 10:00. Niente da fare. I mesi passano e i documenti
personali restano lì, a disposizione di tutti. Ho avvisato, ho aspettato.
Inutile. A questo punto, la gente i cui documenti vengono messi a spasso ha il
diritto di tutelarsi. Il sito è l’Avvocatura dello Stato italiano. Chi volesse tutelarsi può contattarmi in privato.
—
2021/05/05 16:30. Il Garante per la Privacy ha tweetato pubblicamente
che “La questione è già all’attenzione dell’Autorità”.
La questione è già all’attenzione dell’Autorità
— Garante Privacy (@GPDP_IT)
May 5, 2021
—
2021/06/15 17:40. È passato un mese e i dati sono ancora lì, in bella vista. Ho inviato una PEC alla persona alla quale appartiene il documento d’identità, affinché possa prendere le misure del caso.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle
donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere
ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o
altri metodi.