Vai al contenuto

Dati a spasso: nomi, cognomi, telefoni, mail e codici fiscali di chi prenota servizi di comuni e ospedali italiani

Ultimo aggiornamento: 2023/03/10 9:50. 

Dopo anni di GDPR e di tentativi di fare educazione alla protezione dei dati, succedono ancora cose come questa: sto ricevendo segnalazioni multiple di un sito italiano che raccoglie prenotazioni per servizi di comuni e di strutture ospedaliere e espone pubblicamente tutti i dati di chi lo usa.

I dati sono accessibili semplicemente usando un qualunque browser e visitando un indirizzo Web estremamente banale: non servono login, password o altro. Comodamente ripartiti per Comune o ente ospedaliero, si trovano nomi, cognomi, luoghi di nascita, date di nascita, codici fiscali, date e orari di prenotazione e relative motivazioni. Ci sono anche prenotazioni di “procedure sanzionatorie” di almeno una polizia municipale.

Per ovvie ragioni di responsible disclosure per ora non posso pubblicare il nome del sito, mostrare screenshot o citare testualmente i contenuti mandati a spasso. Posso solo dire che i servizi sanitari e comunali coinvolti sono decine, che i dati degli utenti messi in pubblico sono centinaia e che il sito è gestito da una Srl della zona di Torino.

Sarebbe assolutamente banale, per un truffatore o un vandalo, telefonare al signor Claudio che si è rivolto a questo sito per prenotare un servizio presso il Comune di Vittorio Veneto e dirgli che il suo appuntamento è stato annullato oppure che c’è una tassa da pagare anticipatamente. Il truffatore avrebbe tutti i dati necessari per sembrare estremamente credibile e quindi farsi pagare l’inesistente tassa tramite carta di credito. Anche i truffatori che usano la tecnica del “falso nipote” farebbero indigestione con questi dati. E posso solo immaginare i danni e i disagi che si potrebbero causare ad Alessia, per esempio telefonandole e dicendo che c’è un problema serio con il verbale di polizia numero 503*****/2022/R che la riguarda.

“Se vuoi informarti su come trattiamo i tuoi dati clicca qui”, dice il sito (ho cambiato alcune parole per evitare di facilitarne l’identificazione), linkando la propria privacy policy. Purtroppo so già benissimo come vengono trattati, e potrei descriverlo con parole forse poco tecniche ma sicuramente molto colorite e concise. Ma questo è un blog per famiglie e quindi mi trattengo.

Ho inviato immediatamente una PEC al DPO del sito, mettendo in copia il Garante per la Privacy italiano (protocollo(chiocciola)pec.gpdp.it), come suggerito qui e come indicato nella sua pagina dei contatti.

Oggetto: Dati personali pubblicamente accessibili 

Buongiorno, sono un giornalista informatico collaboratore della Radiotelevisione Svizzera.

Mi arrivano segnalazioni multiple di dati sensibili di utenti che sono pubblicamente accessibili a chiunque con una semplice consultazione via Web sul sito [***omissis***]. Presumo quindi che la falla sia ormai nota e circolante.

URL: [***omissis***]

Allego campione in coda a questa mail.

Per qualunque chiarimento potete telefonarmi al mio numero diretto [***omissis***].

Cordiali saluti

Paolo Attivissimo

[***campione di dati omesso***]

La mia PEC di avviso è stata spedita oggi alle 16:56 italiane ed è stata regolarmente consegnata alla casella di destinazione del Garante; non ho conferme di consegna all’indirizzo mail del DPO, che è una casella di mail normale (non PEC). 

Vediamo cosa succede. Intanto ringrazio le persone che mi hanno segnalato il problema. Se a qualcuno dovesse servire, la modulistica per reclami e segnalazioni presso il Garante italiano è qui; la relativa scheda informativa è invece qui.

2023/03/10 9:50. Ieri ho ricevuto dai gestori del sito una mail nella quale mi hanno comunicato di aver corretto la falla e di essersi attivati per la segnalazione del data breach al Garante e per tutte le comunicazioni opportune. In effetti a un primo controllo non sembrano esserci dati personali visibili.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Dati a spasso: nomi, cognomi e indirizzi di acquirenti, importi spesi. È solo caffè, ma...

Dati a spasso: nomi, cognomi e indirizzi di acquirenti, importi spesi. È solo caffè, ma…

Un altro giorno, un’altra segnalazione di dati personali a spasso, pronti per
essere raccattati dal primo criminale informatico che passa ed essere usati
come punto di partenza per attacchi informatici e truffe di ogni sorta.

Mi è stato segnalato un indirizzo IP italiano, sulla rete Eolo, che propone
una pagina aperta a tutti che ospita un form di immissione dati:

Il form cita Artoni, che è una società
di logistica italiana, ma i dati a spasso non sono colpa sua; la pagina che li
diffonde è probabilmente di un’azienda che usa Artoni per le proprie
spedizioni di merci.

Il form da solo non dice granché, ma non c’è bisogno di provare a immettere
dati a caso sperando di trovare qualche corrispondenza: sarebbe molto
improbabile e tedioso. Come capita spesso in tanti database, anche questo form
ha una caratteristica elementare, utilissima per chi vuole rastrellare dati:
premendo semplicemente il pulsante Cerca, senza immettere nulla, elenca
tutti i dati dell’intero archivio, che sono circa un migliaio. Una tecnica classica, che qualunque
scraper o raccattatore di informazioni conosce e applica.

Cliccando sui link delle singole ordinazioni si possono vedere i
dettagli: per esempio quelli dell’azienda di Urbisaglia, in provincia di Macerata, che paga con ricevuta bancaria a 60 giorni fine mese e ordina circa 600 capsule di caffè e spende quasi 600 euro, o quelli della signora Antonella, di Genova, che paga le sue capsule di caffè con la carta di credito.

Sapere i dati di chi compra caffè forse non sembra un grosso problema di sicurezza, visto che il consumo di questa bevanda non è particolarmente controverso o privato, ma ovviamente il problema non è il prodotto acquistato, ma il fatto che i dati dei clienti siano accessibili a chiunque, anche a malintenzionati.

L’esempio più banale di questo problema è che un criminale potrebbe usare le informazioni per chiamare la signora Antonella di Genova spacciandosi per un addetto del servizio di sicurezza delle carte di credito che le telefona per un controllo e dicendole con tono rassicurante che sta solo verificando che lei abbia regolarmente acquistato quello specifico prodotto. Il criminale potrebbe conquistarsi facilmente la fiducia della vittima descrivendole in dettaglio che cosa ha acquistato e quando lo ha acquistato, se ha ricevuto correttamente la merce o se vuole fare reclamo, e poi potrebbe chiederle, con la massima disinvoltura, “Sempre per un controllo di sicurezza, signora C*******, mi conferma i dati della carta con la quale ha effettuato il pagamento? Perché qui risulta che l’acquisto è stato segnalato come fraudolento e non vorrei che ci fosse un equivoco. Sarebbe un peccato bloccarle la carta di credito per errore.”

Certo, non tutti cadranno nella trappola e comunicheranno i dati della propria carta di credito, che il criminale potrà poi usare per commettere frodi. Ma con migliaia di nominativi a disposizione in questo singolo archivio, prima o poi troverà qualcuno che ci cadrà. E al criminale basta avere successo solo una volta ogni tanto.

Purtroppo non sembrano esserci dati utili per risalire all’identità del gestore maldestro di questa pagina Web, ma ho provato a contattare via mail alcuni clienti per chiedere se se la sentono di dirmi il nome della ditta alla quale hanno fatto l’ordinazione. Finora non ha risposto nessuno.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Dati a spasso: nomi, cognomi, firme e altri dati di soccorritori lombardi e dei loro utenti

Dati a spasso: nomi, cognomi, firme e altri dati di soccorritori lombardi e dei loro utenti

Ultimo aggiornamento: 2023/02/01 16:05. 

Non si capisce se sia incoscienza, disinvoltura o ignoranza, ma è
impressionante la quantità di organizzazioni che mette su alla bell’e meglio
una pagina Web con i dati personali dei dipendenti, clienti o collaboratori
“perché così è comodo e possiamo consultarli facilmente”.

Vero, è comodo, ma altrettanto facilmente può consultarli anche chiunque
altro. A quanto pare non è ancora stata capita diffusamente la lezione
fondamentale che non basta non dire a nessuno dove si trovano i dati e così
nessuno li troverà:
bisogna proteggerli attivamente. Perché ormai da anni ci sono i motori
di ricerca generalisti, come Google, che permettono di trovare le pagine Web
pubblicamente raggiungibili anche senza conoscerne l’indirizzo, e ci sono i
motori di ricerca specializzati, come Shodan, che esplorano tutta Internet e
catalogano i siti che hanno servizi troppo accessibili e quindi vulnerabili.

Ieri (30 gennaio) ho
segnalato
il caso di un elenco di clienti assicurativi della zona di Chieti,
allegramente consultabile e modificabile da chiunque da chissà quanto tempo
fino alla mia segnalazione; oggi (31 gennaio) è il turno di un servizio di
soccorso sanitario della Lombardia, che pubblica su una pagina Web accessibile
a Google (e a chiunque abbia un browser) nomi, cognomi, indirizzi, numeri di
telefono e orari degli utenti che si avvalgono dei suoi servizi e molti altri
dati, compresi i nomi e cognomi, le firme e i numeri delle carte di identità e
delle patenti di numerosi soccorritori volontari o professionisti.

Il primo febbraio, per esempio, Mattea B. doveva essere trasportata da Predore
a Sarnico; il 2 febbraio Mario, telefono 34879*****, doveva essere portato da
Villongo all’ospedale di Iseo; il 14 febbraio la signora Teresa, telefono
32987******, verrà trasportata da Villongo alla clinica Sant’Anna di Brescia,
e così via (le date sono visualizzate nel formato statunitense
mese-giorno-anno). Per ciascun utente è indicata anche la situazione
medica che rende necessario il trasporto.

E poi ci sono nomi, cognomi e ruoli del personale, con tanto di firma
digitalizzata:

C’è anche un elenco di
“personale che non timbra da più di 3 settimane”:

Tutto in HTTP; niente HTTPS, su un indirizzo IP di Telecom Italia, aperto
sulle porte 443, 8045, 8445, 8545 (sulla 80 c’è una login a una VPN in HTTPS).
Non ho trovato il modo di capire chi sia il responsabile di queste pagine e
avvisarlo; nell’HTML non ci sono informazioni di identità e anche un
reverse DNS lookup non trova nulla. Se avete idee, segnalatele nei
commenti.

Già è brutto che vengano disseminati i dati sanitari degli utenti, ma c’è un
problema peggiore: questi dati possono essere un appiglio perfetto per
compiere truffe o raggiri ai danni delle persone coinvolte. Giusto per fare un
esempio, se qualche truffatore o malintenzionato telefonasse alla signora
Teresa fingendo di essere un addetto al servizio trasporto utenti e le dicesse
che il suo trasporto (di cui cita tutti i dettagli) avrà un costo aggiuntivo e
che passerà un incaricato a riscuoterlo, probabilmente la signora ci
crederebbe e aprirebbe la porta di casa all’“incaricato”.

A un livello più sofisticato, un malvivente potrebbe approfittare del fatto
che sa di questa violazione della privacy e contattare i responsabili del sito
chiedendo bitcoin per non segnalare l’accaduto al Garante; se non chiedesse
troppo, avrebbe buone probabilità di incassare, perché l’estorsione costerebbe
meno di quello che costerebbe la sanzione del Garante più le spese legali e
quelle per mettere a posto il sito.

Questi sono solo i primi due scenari che mi vengono in mente, e io non sono un
criminale informatico, che sicuramente avrà più inventiva di me.

2023/02/01 16:05. Ho ricevuto una mail dall’Agenzia Regionale Emergenza
Urgenza che mi segnala che con le informazioni che ho fornito privatamente
all’AREU è stato possibile risalire all’Associazione di Soccorso e contattarne
i responsabili.

2023/02/02 11:30. I dati non sono più accessibili via Internet.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Dati a spasso: elenco clienti assicurativi leggibile e modificabile da chiunque (aggiornamento: caso forse risolto)

Dati a spasso: elenco clienti assicurativi leggibile e modificabile da chiunque (aggiornamento: caso forse risolto)


Ultimo aggiornamento: 2023/01/02 10:15. L’articolo è stato riscritto per
tenere conto degli aggiornamenti e per fornire un contesto più ampio.

Quasi sempre i criminali informatici vengono immaginati e rappresentati come
maghi della tastiera che sanno scovare e rubare qualunque dato digitale usando
tecniche di penetrazione sofisticatissime, ma spesso queste tecniche non sono
affatto necessarie, perché i dati sono stati messi maldestramente a
disposizione del primo che passa e sono accessibili via Internet da chiunque
abbia una minima capacità informatica.

Per esempio, pochi giorni fa mi è arrivata in via confidenziale la
segnalazione di un sito aperto a chiunque che contiene quello che sembra
essere un elenco di dati assicurativi di clienti italiani, probabilmente della
zona di Chieti. Nomi, cognomi, indirizzi, codici fiscali, dettagli delle
polizze assicurative, e altro ancora.

Ma soprattutto contiene una voce dell’elenco che non è un nome e cognome di
cliente ma è un avviso:
“Buongiorno questo database è accessibile a chiunque via Internet”,
tutto in maiuscolo. Segno che qualcuno ha già trovato questo archivio, si è
accorto che è non solo leggibile da chiunque ma è anche modificabile da
chiunque, e ha pensato di lasciare un cordiale ma ben visibile avviso.

Trovare queste perle non è difficile. Esistono motori di ricerca appositi,
come Shodan, che ho citato tante volte qui
e che fanno la stessa cosa che fa Google, ossia esplorano e catalogano tutta
Internet, e prendono nota dei siti che hanno degli accessi non protetti. È
sufficiente sfogliare uno di questi motori di ricerca per trovare di tutto:
telecamere di sorveglianza accessibili, server leggibili e scrivibili da
chiunque, e pagine Web come questa. Esattamente come con Google, è sufficiente
immettere le parole chiave giuste.

E a proposito di Google, molto spesso questi siti vulnerabili sono catalogati
anche da Google, appunto, anche se trovarli in questo modo richiede molta più
fatica. Infatti nel caso che mi è stato segnalato, il sito contenente
l’archivio di dati personali di assicurati italiani è non solo reperibile in
Google ma è anche nella sua cache, ossia nella copia temporanea che
Google fa di tutti i siti che visita. Questo vuol dire che i dati saranno
accessibili, almeno in parte, anche per qualche tempo dopo che il sito
lasciato incautamente aperto sarà stato finalmente messo in sicurezza.

Qualche giorno fa ho contattato via mail quella che credo sia la ditta
responsabile, la cui identità è trovabile frugando pazientemente in dettaglio nei dati e
documenti pubblicamente accessibili. Mentre attendevo la risposta, ho notato
che l’archivio non risultava più pubblicamente accessibile via Internet, anche
se la copia cache è tuttora presente in Google. Probabilmente l’avviso
lasciato in bella vista ha attirato positivamente l’attenzione dei
responsabili del sito. Non è una soluzione elegante, ma perlomeno è efficace.

Finora non ho ricevuto nessuna risposta formale dalla ditta in questione, ma mi è arrivato un messaggio Telegram di qualcuno che sembra parlare a nome di questa ditta e dice che si tratta di “una versione alfa non in produzione” che contiene “dati totalmente fittizi anche se costruiti coerentemente”. Non ho modo di verificare questa dichiarazione e posso solo sperare che la versione definitiva sia un po’ meno accessibile e disinvoltamente scrivibile di questa, perché provare un database lasciandolo aperto a tutti su Internet, in modo che possa essere riscritto, cancellato o devastato dal primo vandalo che passa, non è comunque una buona prassi di sicurezza informatica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.