Ultimo aggiornamento: 2021/06/15 17:40.
A gennaio scorso ho trovato un sito statale italiano che mette a disposizione di chiunque i CV di avvocati, autorizzazioni di contratti, fatture con nomi, IBAN, cognomi e importi, scansioni di documenti d'identità. Tutto facilmente reperibile con una semplice ricerca in Google.
Ho avvisato il sito via mail il 28 gennaio:
Buongiorno,
sono un giornalista informatico. Da segnalazione confidenziale mi
risulta che sul vostro sito siano disponibili a chiunque, con semplice
ricerca in Google, documenti contenenti informazioni confidenziali o
sensibili, comprese immagini di carte d'identità.
Esempio: [omissis]
Allego immagine opportunamente anonimizzata.
Segnalo questa situazione affinché possiate rimediare.
Cordiali saluti
Paolo Attivissimo
Siamo al 2 aprile: non ho ricevuto nessun riscontro e i dati sono tuttora a disposizione di chiunque.
Trovo davvero vergognoso che nel 2021 un ente di stato non solo non sia capace di tutelare digitalmente i suoi utenti ma non abbia nemmeno la cortesia di rispondere a chi segnala educatamente il problema in privato.
Sottolineo che tutti questi dati, sotto forma di documenti PDF, sono reperibili semplicemente con una ricerca banale in Google. Non ci vuole nessuna password o conoscenza informatica sofisticata. È deprimente.
Stasera ho mandato una
segnalazione dettagliata al
CSIRT (Computer Security Incident Response Team) della Presidenza del
Consiglio dei Ministri.
Poi la gente mi chiede perché segnalo pubblicamente questi casi invece di
limitarmi a contattare in privato gli interessati. Semplice: gli interessati
non sono interessati. Si muovono solo se vengono denunciati pubblicamente per
la loro inettitudine. E a volte neanche così.
---
2021/04/07 8:30. I dati sono ancora perfettamente accessibili. Un esempio (immagine parziale per proteggere i malcapitati):
2021/04/11 15:00. I dati sono ancora accessibili come prima.
2021/04/22 13:25. Nessun cambiamento.
Dati di avvocati italiani liberamente accessibili online. Li ho avvisati a gennaio scorso. Niente. Visto il perdurare, ho avvisato lo CSIRT il 2 aprile.
— Paolo Attivissimo (@disinformatico) April 22, 2021
I dati sono ancora lì a disposizione del primo che passa. pic.twitter.com/sNco6TyKhs
2021/05/04 10:00. Niente da fare. I mesi passano e i documenti
personali restano lì, a disposizione di tutti. Ho avvisato, ho aspettato.
Inutile. A questo punto, la gente i cui documenti vengono messi a spasso ha il
diritto di tutelarsi. Il sito è l’Avvocatura dello Stato italiano. Chi volesse tutelarsi può contattarmi in privato.
---
2021/05/05 16:30. Il Garante per la Privacy ha tweetato pubblicamente che “La questione è già all’attenzione dell’Autorità”.
La questione è già all'attenzione dell'Autorità
— Garante Privacy (@GPDP_IT) May 5, 2021
---
2021/06/15 17:40. È passato un mese e i dati sono ancora lì, in bella vista. Ho inviato una PEC alla persona alla quale appartiene il documento d’identità, affinché possa prendere le misure del caso.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.
Nessun commento:
Posta un commento