Cari ascoltatori, oggi vi racconto una storia che sembra uscita da un incubo sulla sicurezza informatica, ma che purtroppo è reale. Si tratta di un'applicazione dell'ATS di Milano che, incredibilmente, permette di sapere se una persona è positiva al Covid-19 con una facilità disarmante. Tutto ciò che serve è il codice fiscale e il numero di cellulare di qualcuno. Vi sembra assurdo? Eppure è così.
Per capire meglio la gravità della situazione, parliamo prima di "side channel attack", un tipo di attacco informatico che non si basa sul classico furto di dati, ma sull'estrazione di informazioni da canali non convenzionali. Immaginate, ad esempio, di voler scoprire se un vostro amico è iscritto a un sito di incontri. Se il sito è mal configurato, potreste scoprire l'iscrizione semplicemente inserendo la mail e una password errata. Se il sito risponde "password sbagliata" piuttosto che "utente sconosciuto", sapete già che quel contatto è registrato.
Ora, applicate questo concetto all'applicazione dell'ATS di Milano. Inserendo codice fiscale e numero di cellulare, se una persona non è positiva al Covid, ricevete un messaggio di errore generico. Ma se la persona è positiva, il sistema conferma la verifica, dando via libera alla registrazione su un portale chiamato "bonsai". Conoscendo solo questi due dati, potete scoprire lo stato di salute di chiunque.
Le implicazioni sono enormi. Pensate a quante persone conoscete di cui avete il codice fiscale e il numero di cellulare. Colleghi, amici, clienti, fornitori. E non solo: questi dati sono facilmente ottenibili da vari contesti, come buste paga aziendali o registrazioni alberghiere.
Ci troviamo di fronte a una negligenza imperdonabile, soprattutto considerando che OWASP, un'organizzazione di sicurezza delle applicazioni web, fornisce da anni linee guida per evitare tali errori. L'applicazione dovrebbe rispondere con un messaggio di errore unificato per tutte le richieste fallite, rendendo impossibile dedurre informazioni sensibili da semplici tentativi.
Se come me siete indignati, vi invito a fare un reclamo formale al Garante per la protezione dei dati personali. Un'esposizione di questo tipo è inaccettabile nel ventunesimo secolo. Anche se non vi do l'indirizzo dell'applicazione per evitare abusi, è importante che siate consapevoli dei rischi e delle falle nella sicurezza dei dati.
Questo episodio è un invito a riflettere sulla sicurezza e la privacy dei nostri dati personali. Con Ciao Internet, continuo a raccontarvi di algoritmi e regole che governano il nostro mondo digitale. Se vi è piaciuto l'episodio, non dimenticate di iscrivervi, commentare e condividere. Grazie per avermi seguito, sono Matteo Flora e vi saluto.
I contenuti dell'Episodio #776
In questo episodio di Ciao Internet, vi porto alla scoperta di una vulnerabilità incredibile nell'applicazione dell'ATS di Milano che permette di verificare lo stato Covid di una persona semplicemente utilizzando un codice fiscale e un numero di cellulare. Vi spiegherò come funziona questo bug di sicurezza, perché è così preoccupante e quali sono le implicazioni di una tale disattenzione nella protezione dei dati personali. Sono Matteo Flora e vi invito a riflettere su quanto sia necessario proteggere le informazioni sensibili nel nostro mondo sempre più digitale.