Un'applicazione dell'ATS di Milano permette di verificare se una persona è positiva al Covid-19 semplicemente inserendo il codice fiscale e il numero di cellulare. Questo sistema, che dovrebbe garantire la privacy dei cittadini, si rivela un esempio lampante di cattiva progettazione in termini di sicurezza informatica. La vulnerabilità sfrutta un side channel attack, un tipo di attacco che, anziché violare direttamente un database, raccoglie informazioni dai messaggi di errore differenziati che l'applicazione restituisce.
L'applicazione, infatti, distingue tra credenziali errate e credenziali valide ma associate a un risultato negativo, permettendo così a chiunque abbia accesso a tali dati di determinare lo stato di salute di una persona. Questo problema non è nuovo nel panorama della sicurezza informatica: da oltre un decennio, organizzazioni come OWASP pubblicano linee guida per prevenire tali falle, suggerendo di uniformare i messaggi di errore per evitare di rivelare informazioni sensibili.
La facilità con cui si possono reperire i dati necessari per sfruttare questa vulnerabilità è allarmante. In molti contesti, come aziende, scuole o associazioni, i codici fiscali e i numeri di cellulare sono facilmente accessibili. Questa situazione solleva gravi preoccupazioni sulla protezione dei dati personali e sulla responsabilità delle istituzioni nel garantirne la sicurezza. La chiamata all'azione è chiara: è necessario un intervento immediato del garante della privacy per sanare questa falla e proteggere i cittadini da potenziali abusi.
In questa Puntata
Scoprire se qualcuno ha il Covid con pochi clic: un'applicazione dell'ATS di Milano espone dati sensibili. Quanto è sicuro il tuo codice fiscale?