Cerca nel blog

2017/12/15

Carte d’identità liberamente scaricabili online: una storia di ordinaria insicurezza

Pubblicazione iniziale: 2017/12/15. Ultimo aggiornamento: 2017/12/20 8:40. 

Quando raccomando di non inviare via Internet scansioni dei propri documenti d’identità, spesso mi capita di essere accusato di eccessiva paranoia. Ma dai, mi dicono, cosa vuoi che succeda? I siti che chiedono questi documenti li custodiscono bene, no?

No.

Qualche giorno fa mi è arrivata una segnalazione: un sito italiano, Noisigroup.com, che si autodefinisce “il più grande gruppo di incontro Etico e Solidale”, custodiva (si fa per dire) le carte d’identità e altri documenti personali dei propri utenti in chiaro e lo faceva in una cartella pubblicamente accessibile via Internet.

La cartella era https://noisigroup.com/uploadtmp. Ho salvato una copia della cartella (non dei documenti) su Archive.is.

Chiunque, insomma, poteva trovare quei documenti (per esempio con Google) e scaricarli per poi usarli per autenticarsi altrove e commettere truffe e altri reati dando la colpa al titolare dei documenti.

Piuttosto ironicamente, la “Informativa sulla privacy e trattamento dei dati personali” del sito dichiara che “I sistemi sono dotati delle opportune e necessarie misure di sicurezza per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati.” Come no.

Come se questo non bastasse, ho tentato invano di avvisare i responsabili del sito. Ho inviato mail all’indirizzo indicato nella suddetta informativa, che sono tornate respinte (450 4.1.1 [info@noisigroup.it]: Recipient address rejected: User unknown in virtual mailbox table, seguito stamattina da un bel 450 4.1.1 [info@noisigroup.it]: Recipient address rejected: User unknown in virtual mailbox table).

Ho provato a immettere una segnalazione nel modulo Contatti del sito. Ho dato il mio nome e cognome, mi sono qualificato come giornalista informatico e anche dato un numero di telefono.


Nessuna risposta. I documenti sono rimasti online, alla mercé di chiunque. Documenti come questo, che qui mostro in versione anonimizzata.


Alla fine ho provato a segnalare la situazione alla Polizia Postale italiana, scoprendo però che il modulo online (accessibile soltanto dopo essersi registrati con nome e password) non prevede un’opzione per i documenti trovati online. Comunque i numeri di telefono e gli indirizzi di mail della Polizia Postale sono qui su Facebook.

Grazie anche alle dritte arrivatemi nel frattempo dai lettori, ho segnalato la questione al Garante per la Protezione dei Dati Personali, gratuitamente e con una semplice mail. Il Garante ha avviato un provvedimento di blocco e i documenti ora non sono più online nel sito, ma restano a spasso su Internet, nelle mani di chiunque voglia abusarne.

Purtroppo so, da quello che mi scrivete, che molti siti hanno la stessa irresponsabile sciatteria nel custodire i nostri dati. Conviene quindi imparare a darli il meno possibile oppure prendere alcune precauzioni, come quella segnalata nei commenti dopo la pubblicazione iniziale di questo articolo, ossia includere nella scansione, in maniera difficilmente rimovibile, una dicitura che specifichi lo scopo della scansione e il suo unico destinatario legittimo, in modo da evitarne il riuso da parte di terzi.


2017/12/20


Stamattina ho visto che il sito Noisigroup.com è completamente inaccessibile. La cache di Google, che risale al 17 dicembre, mostra la dicitura “Sito off-line per manutenzione - Il sito tornerà ad essere operativo a brevissimo!”. Lo stesso vale per una copia salvata su Archive.is il 18 dicembre.


Nessun commento: