2021/05/12

Quanto è difficile trovare scansioni di documenti d’identità online? Non molto. Le offre il governo italiano

Ultimo aggiornamento: 2021/05/17 08:40.

Un altro giorno, un’altra collezione di scansioni di documenti d’identità lasciata online, accessibile a chiunque sappia usare Google. Non occorre conoscere password o altro: basta un banalissimo googledork. Il tweet qui accanto contiene tutto quello che serve sapere per trovare questi documenti.

Come è possibile? Molti documenti della pubblica amministrazione italiana hanno in allegato una scansione della carta d’identità: ho trovato registrazioni di liquidazioni di prestazioni, lettere commerciali di affidamento lavori, persino una raccomandata spedita via PEC (ironicamente), tutte con la loro brava scansione a colori, nitidissima, di un documento d’identità, usata come “firma digitale”.

Nomi, cognomi, indirizzi, fotografie, estremi dei documenti, dettagli dei pagamenti effettuati o richiesti, codici IBAN, tutti lasciati online.

Chi è l’irresponsabile che ha messo tutti questi documenti in bella mostra su Internet? Il Ministero delle Infrastrutture e dei Trasporti.

A quanto pare chi ha progettato il sito non ha considerato che esiste Google, e che quindi se un file è accessibile senza dover fare login e digitare una password Google lo troverà e lo indicizzerà, permettendo a chiunque di trovarlo. In questo caso i file sono accessibili perché hanno un URL pubblico del tipo

http://trasparenza.mit.gov.it/moduli/downloadFile.php?file[stringa]/[nome file PDF]

Ho sfuocato io le immagini; gli originali online sono perfettamente leggibili.

Disastri di privacy come questo sono frequentissimi e sono ovviamente una miniera d’oro per qualunque malintenzionato che voglia procurarsi una scansione di un documento identificativo di qualcuno per impersonarlo, specialmente ora che la scansione viene considerata equivalente a una firma.

La prossima volta che qualcuno propone di depositare online una copia dei documenti d’identità, magari affidandola ai social network, allo scopo di obbligare tutti a identificarsi sui social e quindi proteggersi dai bulli, dai molestatori e dagli odiatori, ricordate questo caso. 

Questa è la pubblica amministrazione di uno stato, che ha degli obblighi di legge, e li ha verso i propri cittadini. Figuratevi come può tutelare i vostri documenti personali un’azienda che ha la sede principale all’estero, risponde soltanto alle leggi del suo paese (forse), al posto dei cittadini ha degli utenti e ha come esplicito scopo commerciale la vendita dei dati dei propri utenti.

---

Aggiornamento (2021/05/14 00:10). Se qualcuno avesse in mente di obiettare “ma tanto non se ne fanno nulla di queste scansioni di documenti d’identità, a chi vuoi che interessino”, questo è l’annuncio pubblicato oggi su un noto forum di compravendita di dati trafugati: vengono offerti dieci euro per ogni carta d’identità.

---

Aggiornamento (2021/05/17 08:40). Di questo caso e di altri analoghi si sono occupati Matteo Flora e Guido Scorza in una puntata di Garantismi.

Nessun commento:

Posta un commento

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine per dispositivi mobili