776. A Milano i malati di COVID sono esposti ONLINE?

Oggi parliamo di un problema di sicurezza informatica particolarmente allarmante che riguarda un'applicazione dell'ATS di Milano. Questa applicazione consente di verificare se una persona è positiva al Covid-19 semplicemente inserendo il codice fiscale e il numero di cellulare. Questo metodo di verifica espone i dati personali a potenziali abusi, sfruttando una vulnerabilità nota come "side channel attack".

I side channel attack non richiedono di violare direttamente un database, ma sfruttano le informazioni residue che un sistema può lasciare in modo involontario. Un esempio comune è quello di un sito che, in caso di tentativo di accesso con una password errata, restituisce messaggi di errore diversi a seconda che l'utente esista o meno nel sistema. Questo permette di dedurre l'esistenza di un account con un determinato indirizzo email.

Nell'applicazione dell'ATS, se si inserisce un codice fiscale e un numero di telefono errati, il sistema restituisce un messaggio di errore generico. Tuttavia, se i dati appartengono a una persona positiva al Covid-19, il sistema conferma la validità delle credenziali, permettendo di dedurre lo stato di salute della persona. Questa vulnerabilità è particolarmente preoccupante perché molte persone potrebbero avere accesso a tali informazioni, come datori di lavoro o amministratori scolastici.

Le linee guida OWASP, che da anni forniscono raccomandazioni per la sicurezza delle applicazioni web, suggeriscono di restituire messaggi di errore identici per evitare di rivelare informazioni sensibili. Una soluzione potrebbe essere quella di inviare un SMS di conferma senza rivelare immediatamente lo stato dell'utente.

Questa situazione è inaccettabile nel ventunesimo secolo e chiunque sia a conoscenza di tali vulnerabilità dovrebbe segnalarle al Garante per la protezione dei dati personali. È fondamentale che le applicazioni che gestiscono dati sensibili rispettino gli standard di sicurezza per proteggere la privacy degli utenti.