A gennaio scorso ho trovato un sito statale italiano che mette a disposizione di chiunque i CV di avvocati, autorizzazioni di contratti, fatture con nomi, IBAN, cognomi e importi, scansioni di documenti d’identità. Tutto facilmente reperibile con una semplice ricerca in Google.
Ho avvisato il sito via mail il 28 gennaio:
Buongiorno,
sono un giornalista informatico. Da segnalazione confidenziale mi
risulta che sul vostro sito siano disponibili a chiunque, con semplice
ricerca in Google, documenti contenenti informazioni confidenziali o
sensibili, comprese immagini di carte d’identità.Esempio: [omissis]
Allego immagine opportunamente anonimizzata.
Segnalo questa situazione affinché possiate rimediare.
Cordiali saluti
Paolo Attivissimo
Siamo al 2 aprile: non ho ricevuto nessun riscontro e i dati sono tuttora a disposizione di chiunque.
Trovo davvero vergognoso che nel 2021 un ente di stato non solo non sia capace di tutelare digitalmente i suoi utenti, ma non abbia nemmeno la cortesia di rispondere a chi segnala educatamente il problema in privato.
Sottolineo che tutti questi dati, sotto forma di documenti PDF, sono reperibili semplicemente con una ricerca banale in Google. Non ci vuole nessuna password o conoscenza informatica sofisticata. È deprimente.
Stasera ho mandato una segnalazione dettagliata al CSIRT (Computer Security Incident Response Team) della Presidenza del Consiglio dei Ministri.
Poi la gente mi chiede perché segnalo pubblicamente questi casi invece di limitarmi a contattare in privato gli interessati. Semplice: gli interessati non sono interessati.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.
