Il 22 gennaio scorso, a seguito di una segnalazione confidenziale, ho scritto questo tweet:
Io avrei una domanda per i responsabili di un sito della Regione Veneto, che pubblicano le istruzioni di accesso al server in un documento pubblicamente accessibile da Internet. Con tanto di password. In chiaro. Provo ad avvisare via mail il DPO.
— Paolo Attivissimo (@disinformatico) January 22, 2021
Ho cercato sul sito della Regione Veneto e ho trovato l’indirizzo del responsabile della protezione dei dati personali (DPO), ossia dpo[chiocciola]regione.veneto.it, e gli ho scritto subito questa mail:
Buongiorno,
sono un giornalista informatico, collaboratore della Radiotelevisione
Svizzera. Vi segnalo questo vostro documento, accessibile via web,
contenente le credenziali di accesso.
http://repository.regione.veneto.it/[OMISSIS].doc
Credo sia opportuno rimuoverlo e aggiornare le credenziali citate,
specificamente la password, qualora sia ancora corrente.
Cordiali saluti
Paolo Attivissimo
Sul sito, a quell’URL, c’era infatti un documento Word contenente login e password per accedere al repository del sito. Non ne riporto il testo e l’URL completo per ovvie ragioni.
Il documento è stato sostituito il giorno stesso con una nuova versione priva di dati sensibili e spero che anche la password sia stata cambiata, anche perché la rimozione di un documento accessibile via web non comporta automaticamente la scomparsa di tutte le copie di quel documento. Ma non posso sapere se la password è ancora valida, perché provarla potrebbe essere considerata una violazione di domicilio informatico. Non ho ricevuto una parola di risposta dal DPO, ma pazienza.
Continua insomma la litania dei siti che pubblicano disinvoltamente le proprie password in documenti accessibili a chiunque, senza pensare che qualunque documento visibile verrà indicizzato da Google e sarà quindi facilmente scopribile. I livelli di inettitudine e di incoscienza necessari per fare queste cose sono agghiaccianti. E non è ancora finita.
Commenti
Posta un commento