Il 22 gennaio scorso, a seguito di una segnalazione confidenziale, ho scritto questo tweet:
Io avrei una domanda per i responsabili di un sito della Regione Veneto, che pubblicano le istruzioni di accesso al server in un documento pubblicamente accessibile da Internet. Con tanto di password. In chiaro. Provo ad avvisare via mail il DPO.
— Paolo Attivissimo (@disinformatico) January 22, 2021
Ho cercato sul sito della Regione Veneto e ho trovato l’indirizzo del responsabile della protezione dei dati personali (DPO), ossia dpo[chiocciola]regione.veneto.it. Gli ho scritto subito questa mail:
Buongiorno, sono un giornalista informatico, collaboratore della Radiotelevisione Svizzera. Vi segnalo questo vostro documento, accessibile via web, contenente le credenziali di accesso. http://repository.regione.veneto.it/[OMISSIS].doc Credo sia opportuno rimuoverlo e aggiornare le credenziali citate, specificamente la password, qualora sia ancora corrente. Cordiali saluti Paolo Attivissimo
Sul sito, a quell’URL, c’era infatti un documento Word, scritto da andrea-altinier, contenente login e password per accedere al repository del sito. Non ne riporto il testo e l’URL completo per ovvie ragioni.
Il documento è stato sostituito il giorno stesso con una nuova versione priva di dati sensibili e oso sperare che anche la password sia stata cambiata, perché il documento originale risaliva al 18 luglio 2012 (il che significa che nel 2012 era valido e a qualcuno pareva sensato mettere online la propria password).
Ma la rimozione di un documento accessibile via web non comporta automaticamente la scomparsa di tutte le copie di quel documento, e in più non posso sapere se la password è ancora valida, perché provarla potrebbe essere considerata una violazione di domicilio informatico. Non ho ricevuto una parola di risposta dal DPO, ma pazienza.
Continua insomma la litania dei siti che pubblicano disinvoltamente le proprie password in documenti accessibili a chiunque, senza pensare che qualunque documento visibile verrà indicizzato da Google e sarà quindi facilmente scopribile. I livelli di inettitudine e di incoscienza necessari per fare queste cose sono agghiaccianti. E non è ancora finita.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.
Nessun commento:
Posta un commento