Ciao Internet! Oggi affrontiamo un'altra questione critica legata alla sicurezza dei dati, stavolta riguardante la Regione Campania e il suo sistema di prenotazione vaccini. Avete presente quando vi registrate per il vaccino e fornite il vostro numero di cellulare, email e altri dati personali? Bene, sappiate che queste informazioni sono esposte online senza alcuna tutela adeguata. Non è uno scherzo, e purtroppo non è nemmeno la prima volta che succede: era già accaduto con la Regione Lombardia.
Ma andiamo con ordine. Il sito web incriminato è adesionevaccini.soresa.it, la piattaforma dove inserite il codice fiscale e la tessera sanitaria per prenotarvi e controllare lo stato del vaccino. Tuttavia, il problema non è nella parte visibile del sito, ma nelle API che esso utilizza. Le API sono essenzialmente dei canali attraverso cui il sito comunica con il database, e in questo caso sono pubblicamente accessibili sul sito apisanitacidipsanitasoresa.it.
Grazie alla segnalazione di un fan, Marano Carmine di Gregorio, ho deciso di testare queste API utilizzando un programma chiamato Postman. Ho emulato le chiamate per vedere cosa succede quando si inseriscono determinati parametri. In teoria, per ottenere i dati, dovreste inserire il codice fiscale e la tessera sanitaria. Tuttavia, ho scoperto che il sistema verifica solo il codice fiscale. Questo significa che, se conoscete il codice fiscale di una persona, potete accedere a una serie di informazioni personali, come il numero di cellulare, l'email, il nome completo, il sesso e lo stato della prenotazione vaccinale.
Ho testato il sistema inserendo il codice fiscale di De Luca, il presidente della regione, e con una tessera sanitaria generica ho ottenuto tutte le sue informazioni. Questo è estremamente preoccupante perché il codice fiscale non è difficile da ottenere o ricostruire online. La situazione è ancora più grave perché i dati degli operatori sanitari, come medici e insegnanti, sono facilmente accessibili attraverso le liste pubbliche.
Ho fatto quello che ogni bravo cittadino dovrebbe fare: ho segnalato il problema. Ho avuto il numero di cellulare di De Luca e gli ho inviato un messaggio WhatsApp informandolo della falla, suggerendo che forse non voleva il suo numero di cellulare online. Ho anche comunicato la questione al Garante per la protezione dei dati personali.
L'impatto di questa vulnerabilità è devastante sia per la privacy degli individui che per la sicurezza del sistema sanitario nel suo complesso. Questo episodio dimostra ancora una volta che affidare la gestione dei dati personali a livello regionale può portare a gravi inefficienze e rischi di sicurezza. La situazione non si ferma qui, perché ci sono altre chiamate API che permettono la generazione di nuovi codici di accesso, potenzialmente modificando i dati.
In conclusione, invito tutti voi, soprattutto gli amici campani, a stare attenti e considerare di presentare un reclamo al Garante per la protezione dei vostri dati. Vi ringrazio per avermi ascoltato e vi ricordo di iscrivervi al mio canale e di seguire la newsletter per rimanere aggiornati. Ancora una volta, ci troviamo di fronte a un sito realizzato male, che mette in pericolo dati sensibili, specialmente quelli delle fasce più vulnerabili come gli operatori sanitari e il corpo docente.
Io sono Matteo Flora, e come sempre, vi racconto di algoritmi e regole che governano le macchine e gli umani per capire come la rete ci cambia. Grazie per essere stati con me oggi, e come sempre, state parati!
I contenuti dell'Episodio #816
In questo episodio di Ciao Internet, esplorerò un problema serio riguardante la sicurezza dei dati personali legati alla vaccinazione in Regione Campania. Attraverso un'analisi dettagliata, scoprirò come le API del sito web di prenotazione vaccini espongano dati sensibili degli utenti senza adeguate misure di protezione. Condividerò la mia esperienza diretta nel testare queste vulnerabilità e discuterò delle implicazioni per la privacy e la sicurezza.