{{feedLink}}

Il Molise non esiste.

data breach Christian Bernieri
(Aggiornato il )
Il Molise, ridente località immaginaria ove trovare data breach reali. AI
 
 

Fuori dal mondo

 
Il Molise esiste, eccome se esiste, ma forse pensa di essere in un universo parallelo dove, a discapito dei Molisani, non si applica il GDPR.
 
Si può vivere senza GDPR? Tecnicamente si, si sopravvive, ma con molte complicazioni.
Se mi capitasse di (ri)fare indigestione di scescille, verrei probabilmente ricoverato in un ospedale Molisano e sarebbe una vera sciagura: i miei dati sanitari verrebbero maltrattati al punto da essere esposti pubblicamente su sistemi fatiscenti, con tali vulnerabilità da meritare un facepalm collettivo e una grande pernacchia del Garante Privacy. Coltivo la speranza che, dopo anni e dopo la sanzione del Garante, qualcosa sia stato migliorato dall'ultima indigestione, speriamo senza scassare null'altro!
 
 

Cosa è successo?

A quanto pare, in Molise esistono sistemi informativi gestiti dalla Regione, quelli del fascicolo sanitario elettronico (FSE), concepiti talmente bene da permettere a qualunque utente di accedere ai dati proprie a quelli degli altri utenti, semplicemente modificando l'indirizzo della pagina visitata.
Si, sul serio.
No, non scherzo.
 
 
Il diabolico meccanismo più o meno funziona in questo modo:
 
immaginiamo un sito qualsiasi composto da tante pagine... immaginiamo di buttare l'occhio sull'indirizzo del sito (URL) e notare che c'è un numeretto che cambia ogni volta che cambiamo pagina, scorrendole. Non bisogna essere un genio dell'informatica per cliccare e modificare manualmente il numeretto e andare in un solo colpo alla pagina numero 21 senza farsi venire i crampi al pondolo, cliccando forsennatamente e scorrendo ogni singola pagina sino a quella desiderata. È un trucchetto abbastanza banale e di uso quotidiano.
 
 
 
Tutti gli utenti della rete lo sanno fare e, in alcuni casi, è utile. Quali casi? Beh, per esempio quei siti cove una ricerca restituisce 1200 pagine di risultati e la barra di navigazione propone   <-1-2-3-4-5-1200->.   Volendo raggiungere la metà dell'elenco, verso pagina 600, dopo le opportune giaculatorie, ci si ingegna e si usa il noto trucchetto...  
 
 
 
Ecco un fulgido esempio tratto da un sito scelto (non esattamente) a caso:
 
Un sito a caso
 
 
Se non posso raffinare la ricerca, come faccio per andare velocemente alla pagina 614? Semplice, cambio il numeretto al termine dell'URL... da 14 a 614. 
 
Tadaaaa!
 
tadaaaa
 
Giuro: non ho fatto 600 click!
 
 
 
L'esempio purtroppo non è completamente immaginario o particolarmente fortunato, molti siti si comportano proprio in questo modo, come quello dell'immagine e quello del Garante Privacy, ma sono siti innocui. Non la definirei una vulnerabilità perché il sito mostra solo fotografie gratuite oppure i documenti pubblicati dall'Autorità, ma come giudicheremmo questa strana cosa se il sito contenesse dati personali relativi alla salute di centinaia di migliaia di persone? 
 
Ecco, ora immaginiamo di essere sul proprio fascicolo sanitario elettronico e immaginiamo di notare che, al posto del numeretto, ci sia il codice fiscale, quello dell'utente collegato.
Anche in questo caso, non serve un genio del crimine o avere una felpa nera con cappuccio da hacker per far sorgere un sospetto galeotto : "vuoi vedere che qui c'è un cretino?
Il passo successivo, tanto naturale quanto banale, è provare a sostituire il proprio codice fiscale con quello di un'altra persona, per esempio un parente stretto, così, tanto per provare, in sua presenza e con il suo consenso. È un attimo, ed ecco confermato il sospetto: effettivamente sì, un cretino c'è, forse più di uno.
 
Purtroppo nemmeno questo sito è immaginario, è il portale FSE della regione Molise.
Esiste, eccome se esiste.
 

Stando all'istruttoria e alle decisioni del Garante Privacy, questo tipo di vulnerabilità "non è né di facile rilevazione né di semplice sfruttamento, richiedendo una manipolazione intenzionale della URL e la previa conoscenza della URL di destinazione https://fse.regione.molise.it/fseui/list". 

Che dire... abbiamo un Garante decisamente naïf!

Per fortuna, sempre il Garante, poche righe dopo, evidenzia la necessità che i programmatori "impediscano che soggetti terzi potessero, dopo aver superato la procedura di autenticazione informatica, utilizzare funzionalità a cui non erano autorizzati semplicemente modificando alcuni parametri presenti nell'URL".

A mio giudizio, riconoscere e sfruttare questa "vulnerabilità" non sia poi così difficile e il "semplicemente" utilizzato dal Garante demolisce la sua stessa premessa che lascia pensare ad un malefico nerd incappucciato nascosto dietro sordide vpn, con mille lucine lampeggianti e un gatto morto nel freezer. 

Comunque sia, a prescindere dal livello di sofisticazione della vulnerabilità, non è stato certo un ostacolo per alcuni utenti che, mossi da semplice curiosità, hanno messo in luce un gigantesco buco nella sicurezza di uno dei database più delicati e sensibili gestiti dalla Regione. Una voragine enorme e un potenziale data breach di portata titanica.

"Il Portale FSE della Regione Molise, a causa di una vulnerabilità, ha consentito a un utente autenticato con il ruolo di assistito, attraverso una manipolazione intenzionale della URL, di effettuare una ricerca dei dati di altri cittadini presenti in Anagrafe Regionale del Molise, in assenza di una verifica dei permessi di autorizzazione attribuiti all’utente per l’accesso a tali dati." Così scrive il Garante.

 
Io l'avrei scritta diversamente:
"Siccome sono una mandria di deficienti imboscati nel ventre molle della PA, nessuno è andato oltre il proprio naso, fregandosene allegramente dei dati della gente e facendo la propria parte per metterli concretamente a rischio. Un comune utente è stato in grado di vedere ciò che non sono state in grado di riconoscere decine/centinaia di persone iper qualificate, vincitrici di concorsi, elette tra le migliori, nominate per competenza."
 
 

Il Triangolo

Ma cosa è successo in Molise? Come si è arrivati a impiantare una simile metastasi in un portale di questa rilevanza? Può essere un caso, una svista o un errore?
 
La falla origina dalla quella che definirei la tipica famiglia tradizionale italiana: lui, lei e l'altro.
  • La Regione Molise, titolare del trattamento, "lui";
  • Molise Dati S.p.A., responsabile del trattamento designato dalla Regione Molise, "lei";
  • Engineering ingegneria informatica S.p.A., il subappaltatore, sub-responsabile del trattamento, "l'altro".

Un bel quadretto dove, per colpa della scarsa igiene intima de l'altro, anche lui e lei si trovano alle prese con una bella malattia venerea. A poco servono le scenate di gelosia, le recriminazioni, le accuse reciproche, il lancio di piatti e bicchieri, buttare tutto dalla finestra... purtroppo il danno è fatto e, a dirla tutta, la candidosi è solo un effetto: la causa del dramma va cercata altrove.

E pensare che è stata proprio lei a presentargli l'altro!

 

Il Garante, pur non essendo esperto di venereologia, ha intuito che ci fosse una tresca e ha sanzionato l'intero triangolo:

  • lui, per avere una condotta incauta, andando volentieri con il primo che passa
  • lei, per non essersi accorto di nulla, disinteressandosi dei fatti propri
  • l'altro, per la scarsa igiene intima e la mancanza di precauzioni o protezioni

Fuor di metafora, è stato applicato il principio della responsabilità solidale prevista dal GDPR, un meccanismo in base al quale il titolare conserva sia il governo del trattamento che la responsabilità su di esso, anche se si avvale di partner.

Il Titolare del trattamento deve essere selettivo, deve dare istruzioni dettagliate e deve vigilare. Qualsiasi cosa accada, è colpa sua, o meglio, è anche colpa sua.

La responsabilità solidale non risparmia nemmeno gli intermediari, i responsabili del trattamento. Come dice l'EDPB: sul responsabile del trattamento incombe la responsabilità, nei confronti del titolare del trattamento, di assicurare il rispetto degli obblighi in materia di protezione dei dati da parte degli altri sub-responsabili del trattamento (punto 129). Sebbene la catena possa essere alquanto lunga, il titolare del trattamento mantiene un ruolo centrale nella determinazione della finalità e dei mezzi dello stesso (punto 152) e anche il responsabile del trattamento conserva nei confronti del titolare l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile (articolo 28, paragrafo 4, del GDPR) (punto 159).

 
 
Errori tecnici uniti a completa mancanza di controlli, cosa potrà mai andare storto? 
 
 

Il Garante

L'Autorità Garante ha emesso 3 provvedimenti (Regione Molise, Molise Dati, Engineering ingegneria informatica) per dichiarare illegittimi i trattamenti e sanzionare tutti i protagonisti della vicenda e tutti alla pari, contestando in particolare:
  1. errori di sviluppo del software e mancanza di adeguati controlli sugli accessi alle risorse web
  2. assenza di test di sicurezza, come penetration test e vulnerability assessment specifici per individuare tale vulnerabilità
  3. mancata applicazione del principio di "privacy by design e by default", in quanto il sistema informatico permetteva un accesso non autorizzato ai dati tramite la modifica della URL
  4. mancata adozione delle misure tecniche e organizzative adeguate per garantire un livello di sicurezza proporzionato al rischio
  5. carente supervisione sulla adozione delle  misure di sicurezza
  6. mancata verifica dell'affidabilità e capacità del subappaltatore
 
 

Non sono stato io!

Qualcuno ha tentato di giustificarsi sostenendo di non avere la responsabilità di effettuare i controlli di sicurezza, in quanto non rientrante nei termini del contratto di subappalto. Beh, direi che la strategia difensiva non ha funzionato come sperato. Non funziona mai.
 
Probabilmente siamo all'alba di una nuova era dell'applicazione del GDPR. È un cambiamento che non accade dall'oggi al domani ma che si fa ogni giorno più evidente. Sarebbe bene che tutti se ne rendessero conto, specialmente in quegli ambiti dove l'impunità è seconda soltanto alla cialtronaggine e al clientelismo.
 
Tradizionalmente, sia la norma che la sua applicazione sono stati condizionati da uno schema tipico che infesta i modelli organizzativi dal Manzanarre al Reno: la colpa è del capo. È sicuramente vero che il vertice mantiene la responsabilità per l'intera filiera, ma si tratta di una semplificazione di comodo che ricorda molto il codice di Hammurabi
 
Il nuovo mondo è regolato dal principio dell'effettività e fa evolvere il concetto di colpa.
 
Tradizionalmente, la colpa è caratterizzata da negligenza, imprudenza o imperizia e questo ha favorito sonni sereni, su morbidi guanciali, per tutti i dirigenti e i politici che hanno pensato di delegare ad altri l'atto pratico. Purtroppo, in molti casi, ci si è dimenticati che il fatto stesso di delegare implichi una competenza, una perizia nella scelta della persona alla quale affidare un certo compito. L'esecutore deve saper fare ma non basta che lo dichiari, il committente deve accertarsene. Non solo, deve verificare che le promesse non vengano disattese.  La culpa in eligendo e la culpa in vigilando turbano il sonno dei titolari del trattamento così come dei loro generali. Le responsabilità travolgono tutti, sino all'ultimo faccendiero intento a rosicchiare croste di formaggio cadute dalla tavola del banchetto.
 
Benvenuti nel nuovo mondo, Molisani.
Benvenuti nel mondo della protezione dei dati personali.
 

 

 
Per capire,
per essere consapevoli,
per difendersi.
 
 

 

 
Restiamo in contatto!
Clicca qui ed iscriviti alla NEWSLETTER

 

Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili, prendi in considerazione l'idea di ringraziarmi.

Puoi farlo in tre modi:
- Condividendo il mio lavoro sui tuoi social. Così facendo aiuterai altre persone,
- Dicendomi cosa ne pensi, mi aiuterai a migliorare,
- Con una donazione. In questo modo aiuterai me.

Se sei un professionista della privacy, fammi sapere come la pensi, il confronto è essenziale per migliorarsi. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di mer#a con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?
Bene... allora mi devi una birra.

Clicca qui per inviare una donazione

...un caffè, una birra, una pizza, una cena elegante...

 

 
 
 
 
 
Christian Bernieri

“A fucking good DPO” - Data Protection advocate. IAPP CIPP/E.

Consulente privacy (oppure) DPO. Mai le due cose contemporaneamente!

Principal Consultant presso SGST srl

Su Twitter (X) ero @prevenzione ma  ho cancellato tutto. "Io li odio i nazisti dell'Illinois."  (cit.)

 

Sono su BLUESKY, sono @garantepiracy.it

Sono anche su Linkedin

 

Se mi cerchi fisicamente, mi puoi trovare qui: φ 42° 21,5′ N - λ 10° 3,85′ E

Puoi mandarmi messaggi diretti e anonimi via Signal

Letture totali:  

...