È quello che è successo al Touring Club Italiano qualche giorno fa. Sul suo sito https://ift.tt/17hn4eE c’era un documento (qui), in formato PDF, che conteneva dettagliate istruzioni su come accedere all’area riservata del sito e quali credenziali inserire.
Ho segnalato la cosa pubblicamente al Touring Club Italiano:
Uhm... @TouringClub, pubblicare su Internet un PDF contenente le istruzioni e la password per accedere alle aree riservate di un vostro sito non è molto prudente. Spero che le abbiate cambiate.
— Paolo Attivissimo (@disinformatico) January 21, 2021
Possiamo parlarne?
Non ho ricevuto risposta.
In compenso il documento è stato rimosso, per cui ne posso parlare pubblicamente.
Il problema è che quella login e quella password sono pubblicati da vari altri siti, non solo in PDF ma esplicitamente su pagine web pubbliche, e sono facilmente reperibili in Google. Per cui è sostanzialmente inutile che io li mascheri. Posso solo sperare che nel frattempo i responsabili abbiano cambiato login e password (ovviamente non ho potuto verificarlo). I documenti sembrano risalire ad alcuni anni fa, per cui c’è qualche speranza. Ma va considerato che all’epoca quella password era sicuramente valida ed era pubblicata.
In ogni caso, questa vicenda è un buon promemoria del fatto che le password non si mettono mai online in cartelle pubblicamente accessibili contando sul fatto che tanto nessuno ne conosce il link, perché se sono pubblicamente accessibili verranno esplorate dai motori di ricerca e il link verrà pubblicato.
Commenti
Posta un commento