2019/08/21

Quando una ditta lascia online i dati dei clienti e ignora gli avvisi, che si fa? Si pubblica

Ultimo aggiornamento: 2019/08/27 12:00.

Le gioie dei dati nel cloud: la San Marino Tourservice S.p.A. ha messo centinaia di file contenenti dati dei clienti in un bucket Amazon leggibile da chiunque, con buona pace della sua privacy policy (che ho archiviato qui).

So che è già stata allertata tempo fa (non da me), ma non ha fatto nulla: i dati sono ancora lì, come lo erano a marzo scorso, alla mercé del primo che passa. Nomi, numeri di telefono, date di viaggio, infortuni e problemi di salute.

Un paio di esempi (in cui ho mascherato i principali dati), tanto per chiarire che non sto scherzando:


Visto che segnalare il problema direttamente e con discrezione agli interessati non sembra aver ottenuto alcun effetto, vediamo cosa succede con una segnalazione pubblica della figuraccia. Perché un cliente ha il diritto di sapere se i suoi dati personali verranno davvero tutelati dall’azienda alla quale si rivolge o se, come sembra, vige il chissenefrega più totale.

Ho inviato segnalazione anche al CNAIPIC.


15:50. Sono stato contattato dal responsabile informatico dell’azienda e gli ho spiegato i dettagli tecnici della questione, chiarendo che non ho trovato alcuna vulnerabilità ignota ma ho semplicemente usato uno degli appositi motori di ricerca che indicizzano i bucket world-readable. È comunque già un passo avanti. I dati sono tuttora leggibili e scaricabili da chiunque, anche in massa. Ricordo alle aziende che usano i bucket di Amazon che Amazon offre una guida alla messa in sicurezza e anche uno strumento di verifica delle impostazioni dei bucket.


21:10. Mi è arrivata una mail dal responsabile informatico dell’azienda, che ha confermato la mia segnalazione e ha detto che verranno prese misure opportune (che non descrivo qui) e ringraziato con la promessa di aggiornarmi sulle modifiche e con la cortese richiesta di verificare il loro operato. Tutto è bene quel che finisce bene? Beh, resta la questione delle conseguenze GDPR di questa esposizione di dati privati. Ma questa è un’altra storia.


2019/08/22 7:35. Sono stato contattato di nuovo dall’azienda, che mi ha chiesto di verificare che a seguito di un intervento tecnico ora i dati non sono più accessibili a chiunque. I miei controlli a campione confermano che è così.

2019/08/27 12:00. Ho sostituito gli screenshot iniziali (che avevo mascherato quasi completamente) con delle versioni completamente mascherate.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Nessun commento:

Posta un commento

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine per dispositivi mobili