Cerca nel blog

2021/04/02

Dati di avvocati italiani reperibili su Google. Avvisati, non fanno nulla

Ultimo aggiornamento: 2021/06/15 17:40.

A gennaio scorso ho trovato un sito statale italiano che mette a disposizione di chiunque i CV di avvocati, autorizzazioni di contratti, fatture con nomi, IBAN, cognomi e importi, scansioni di documenti d'identità. Tutto facilmente reperibile con una semplice ricerca in Google.

Ho avvisato il sito via mail il 28 gennaio:

Buongiorno,

sono un giornalista informatico. Da segnalazione confidenziale mi
risulta che sul vostro sito siano disponibili a chiunque, con semplice
ricerca in Google, documenti contenenti informazioni confidenziali o
sensibili, comprese immagini di carte d'identità.

Esempio: [omissis]

Allego immagine opportunamente anonimizzata.

Segnalo questa situazione affinché possiate rimediare.


Cordiali saluti

Paolo Attivissimo

Siamo al 2 aprile: non ho ricevuto nessun riscontro e i dati sono tuttora a disposizione di chiunque.

Trovo davvero vergognoso che nel 2021 un ente di stato non solo non sia capace di tutelare digitalmente i suoi utenti ma non abbia nemmeno la cortesia di rispondere a chi segnala educatamente il problema in privato.

Sottolineo che tutti questi dati, sotto forma di documenti PDF, sono reperibili semplicemente con una ricerca banale in Google. Non ci vuole nessuna password o conoscenza informatica sofisticata. È deprimente.

Stasera ho mandato una segnalazione dettagliata al CSIRT (Computer Security Incident Response Team) della Presidenza del Consiglio dei Ministri.

Poi la gente mi chiede perché segnalo pubblicamente questi casi invece di limitarmi a contattare in privato gli interessati. Semplice: gli interessati non sono interessati. Si muovono solo se vengono denunciati pubblicamente per la loro inettitudine. E a volte neanche così.

 ---

2021/04/07 8:30. I dati sono ancora perfettamente accessibili. Un esempio (immagine parziale per proteggere i malcapitati):

2021/04/11 15:00. I dati sono ancora accessibili come prima.

2021/04/22 13:25. Nessun cambiamento.

---

2021/05/04 10:00. Niente da fare. I mesi passano e i documenti personali restano lì, a disposizione di tutti. Ho avvisato, ho aspettato. Inutile. A questo punto, la gente i cui documenti vengono messi a spasso ha il diritto di tutelarsi. Il sito è l’Avvocatura dello Stato italiano. Chi volesse tutelarsi può contattarmi in privato.


---

2021/05/05 16:30. Il Garante per la Privacy ha tweetato pubblicamente che “La questione è già all’attenzione dell’Autorità”.

---

2021/06/15 17:40. È passato un mese e i dati sono ancora lì, in bella vista. Ho inviato una PEC alla persona alla quale appartiene il documento d’identità, affinché possa prendere le misure del caso.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Nessun commento: