Marzo, 2023

Lo smartphone Redmi 10 2022 è in super offerta su eBay al prezzo più conveniente di tutto il web: affare d’oro.

Ultimo aggiornamento: 2023/03/08 18:35. 

Dopo anni di GDPR e di tentativi di fare educazione alla protezione dei dati, succedono ancora cose come questa: sto ricevendo segnalazioni multiple di un sito italiano che raccoglie prenotazioni per servizi di comuni e di strutture ospedaliere e espone pubblicamente tutti i dati di chi lo usa.

I dati sono accessibili semplicemente usando un qualunque browser e visitando un indirizzo Web estremamente banale: non servono login, password o altro. Comodamente ripartiti per Comune o ente ospedaliero, si trovano nomi, cognomi, luoghi di nascita, date di nascita, codici fiscali, date e orari di prenotazione e relative motivazioni. Ci sono anche prenotazioni di “procedure sanzionatorie” di almeno una polizia municipale.

Per ovvie ragioni di responsible disclosure per ora non posso pubblicare il nome del sito, mostrare screenshot o citare testualmente i contenuti mandati a spasso. Posso solo dire che i servizi sanitari e comunali coinvolti sono decine, che i dati degli utenti messi in pubblico sono centinaia e che il sito è gestito da una Srl della zona di Torino.

Sarebbe assolutamente banale, per un truffatore o un vandalo, telefonare al signor Claudio che si è rivolto a questo sito per prenotare un servizio presso il Comune di Vittorio Veneto e dirgli che il suo appuntamento è stato annullato oppure che c’è una tassa da pagare anticipatamente. Il truffatore avrebbe tutti i dati necessari per sembrare estremamente credibile e quindi farsi pagare l’inesistente tassa tramite carta di credito. Anche i truffatori che usano la tecnica del “falso nipote” farebbero indigestione con questi dati. E posso solo immaginare i danni e i disagi che si potrebbero causare ad Alessia, per esempio telefonandole e dicendo che c’è un problema serio con il verbale di polizia numero 503*****/2022/R che la riguarda.

“Se vuoi informarti su come trattiamo i tuoi dati clicca qui”, dice il sito (ho cambiato alcune parole per evitare di facilitarne l’identificazione), linkando la propria privacy policy. Ma so già benissimo come vengono trattati, e potrei descriverlo con parole forse poco tecniche ma sicuramente molto colorite e concise. Ma questo è un blog per famiglie e quindi mi trattengo.

Ho inviato immediatamente una PEC al DPO del sito, mettendo in copia il Garante per la Privacy italiano (protocollo(chiocciola)pec.gpdp.it), come suggerito qui e come indicato nella sua pagina dei contatti.

Oggetto: Dati personali pubblicamente accessibili 

Buongiorno, sono un giornalista informatico collaboratore della Radiotelevisione Svizzera.

Mi arrivano segnalazioni multiple di dati sensibili di utenti che sono pubblicamente accessibili a chiunque con una semplice consultazione via Web sul sito [***omissis***]. Presumo quindi che la falla sia ormai nota e circolante.

URL: [***omissis***]

Allego campione in coda a questa mail.

Per qualunque chiarimento potete telefonarmi al mio numero diretto [***omissis***].

Cordiali saluti

Paolo Attivissimo

[***campione di dati omesso***]

La mia PEC di avviso è stata spedita oggi alle 16:56 italiane ed è stata regolarmente consegnata alla casella di destinazione del Garante; non ho conferme di consegna all’indirizzo mail del DPO, che è una casella di mail normale (non PEC). 

Vediamo cosa succede. Intanto ringrazio le persone che mi hanno segnalato il problema.

L’epico smartwatch OPPO Watch Free è in fortissimo sconto su Amazon a un prezzo irresistibile: affare d’oro.

La fantastica scopa elettrica senza fili Mi Vacuum Cleaner G9 è disponibile a un prezzo AFFARE. E poi è Xiaomi.

Un’ottima occasione per fare tuo Norton 360 Premium con un sostanzioso sconto del 56% sul primo anno di abbonamento.

Leggi La promessa di Norton: se il virus non se ne va, ricevi un rimborso

Porta il gaming ai massimi livelli grazie a HP Victus 16 e a una tecnologia di raffreddamento che garantisce sempre prestazioni ottimali.

Qualcomm Snapdragon 680 e batteria 5000 mAh: il Motorola Moto G32 è il best buy del mese grazie al prezzo incredibile.

Con questo kit di base ti doti di un termostato intelligente per gestire il riscaldamento ovunque tu sia, e ridurre gli sprechi energetici.

AKASO action cam EK7000 Pro 4K: da oggi disponibile su Amazon a soli 76,49€, con uno sconto del 15%.

Leggi AKASO Action Cam EK7000 Pro: su Amazon arriva uno SCONTO del 15%

La rete VPN di CyberGhost è ai vertici della categoria per velocità e sicurezza: oggi in promo a soli 2,19 euro per i primi 2 anni.

Leggi VPN per lo streaming veloce e sicura a 2,19€ al mese con CyberGhost

L’affidabile caricatore doppia USB di INIU può essere tuo adesso a soli 10€. Ma fai in fretta, può andare esaurito velocemente.

Amazon e le sue stranezze: guardate che gadget tech curiosi abbiamo scovato e che potrebbero tornarvi utili.

Con questo kit di conversione puoi convertire le biciclette in veicoli elettrici. Materiale ecologico, resistente e facile da usare.