Ultimo aggiornamento: 2023/02/01 16:05.
Non si capisce se sia incoscienza, disinvoltura o ignoranza, ma è
impressionante la quantità di organizzazioni che mette su alla bell’e meglio
una pagina Web con i dati personali dei dipendenti, clienti o collaboratori
“perché così è comodo e possiamo consultarli facilmente”.
Vero, è comodo, ma altrettanto facilmente può consultarli anche chiunque
altro. A quanto pare non è ancora stata capita diffusamente la lezione
fondamentale che non basta non dire a nessuno dove si trovano i dati e così
nessuno li troverà:
bisogna proteggerli attivamente. Perché ormai da anni ci sono i motori
di ricerca generalisti, come Google, che permettono di trovare le pagine Web
pubblicamente raggiungibili anche senza conoscerne l’indirizzo, e ci sono i
motori di ricerca specializzati, come Shodan, che esplorano tutta Internet e
catalogano i siti che hanno servizi troppo accessibili e quindi vulnerabili.
Ieri (30 gennaio) ho
segnalato
il caso di un elenco di clienti assicurativi della zona di Chieti,
allegramente consultabile e modificabile da chiunque da chissà quanto tempo
fino alla mia segnalazione; oggi (31 gennaio) è il turno di un servizio di
soccorso sanitario della Lombardia, che pubblica su una pagina Web accessibile
a Google (e a chiunque abbia un browser) nomi, cognomi, indirizzi, numeri di
telefono e orari degli utenti che si avvalgono dei suoi servizi e molti altri
dati, compresi i nomi e cognomi, le firme e i numeri delle carte di identità e
delle patenti di numerosi soccorritori volontari o professionisti.
Il primo febbraio, per esempio, Mattea B. doveva essere trasportata da Predore
a Sarnico; il 2 febbraio Mario, telefono 34879*****, doveva essere portato da
Villongo all’ospedale di Iseo; il 14 febbraio la signora Teresa, telefono
32987******, verrà trasportata da Villongo alla clinica Sant’Anna di Brescia,
e così via (le date sono visualizzate nel formato statunitense
mese-giorno-anno). Per ciascun utente è indicata anche la situazione
medica che rende necessario il trasporto.
E poi ci sono nomi, cognomi e ruoli del personale, con tanto di firma
digitalizzata:
C’è anche un elenco di
“personale che non timbra da più di 3 settimane”:
Tutto in HTTP; niente HTTPS, su un indirizzo IP di Telecom Italia, aperto
sulle porte 443, 8045, 8445, 8545 (sulla 80 c’è una login a una VPN in HTTPS).
Non ho trovato il modo di capire chi sia il responsabile di queste pagine e
avvisarlo; nell’HTML non ci sono informazioni di identità e anche un
reverse DNS lookup non trova nulla. Se avete idee, segnalatele nei
commenti.
Già è brutto che vengano disseminati i dati sanitari degli utenti, ma c’è un
problema peggiore: questi dati possono essere un appiglio perfetto per
compiere truffe o raggiri ai danni delle persone coinvolte. Giusto per fare un
esempio, se qualche truffatore o malintenzionato telefonasse alla signora
Teresa fingendo di essere un addetto al servizio trasporto utenti e le dicesse
che il suo trasporto (di cui cita tutti i dettagli) avrà un costo aggiuntivo e
che passerà un incaricato a riscuoterlo, probabilmente la signora ci
crederebbe e aprirebbe la porta di casa all’“incaricato”.
A un livello più sofisticato, un malvivente potrebbe approfittare del fatto
che sa di questa violazione della privacy e contattare i responsabili del sito
chiedendo bitcoin per non segnalare l’accaduto al Garante; se non chiedesse
troppo, avrebbe buone probabilità di incassare, perché l’estorsione costerebbe
meno di quello che costerebbe la sanzione del Garante più le spese legali e
quelle per mettere a posto il sito.
Questi sono solo i primi due scenari che mi vengono in mente, e io non sono un
criminale informatico, che sicuramente avrà più inventiva di me.
—
2023/02/01 16:05. Ho ricevuto una mail dall’Agenzia Regionale Emergenza
Urgenza che mi segnala che con le informazioni che ho fornito privatamente
all’AREU è stato possibile risalire all’Associazione di Soccorso e contattarne
i responsabili.
—
2023/02/02 11:30. I dati non sono più accessibili via Internet.