La risposta sta nel report redatto da "Il Fatto Quotidiano", nel quale si denuncia il grado di sicurezza del Portale degli acquisti della sopra riportata Azienda.
Nonostante la PA sia uno degli anelli deboli della nostra penisola, e conseguentemente abbia diverse pecche da analizzare, oggi ci concentreremo su ciò che interessa più da vicino la nostra realtà tematica, ovvero il mondo dell'IT.
La vulnerabilità del portale dello Stato, infatti, non solo permetteva a un utente mediamente esperto di impostare alcune opzioni, gli prospettava anche la possibilità di accedere a dati privati sensibili. Dopo la denuncia, da parte del quotidiano romano, la struttura del sito è cambiata, con un form per il login per gli amministratori.
Procediamo con ordine:
Un giornalista de Il Fatto Quotidiano è riuscito a ottenere informazioni e dati sensibili dal Portale degli Acquisti della Pubblica Amministrazione gestito dal Ministero dell'Economia e da Consip. Documenti interni, offerte di aziende e PDF contenenti carte d'identità erano alla mercé di qualsiasi utente avente un minimo di perizia informatica.
Non era necessario "nessun hackeraggio", dal momento che il sito risultava "sostanzialmente privo di protezione anti-intrusione". Il portale viene utilizzato per gestire offerte e bandi da parte di vari enti e, per interagire con il suo "pannello di configurazione", bastava semplicemente "aggiungere un'estensione facilmente individuabile" da un utente competente in materia di web, e della struttura dei vari siti.
Dal pannello era possibile gestire le credenziali dei singoli utenti registrati, potendo decidere i permessi del singolo utente, e lo poteva fare "chiunque, comodamente dal PC di casa sua", scrive il quotidiano italiano. Infatti, per accedere al pannello di configurazione del Portale degli Acquisti della PA non era necessario alcun log-in, nessuna credenziale o password per poter effettuare modifiche all'interno del sito.
Inoltre, con semplici modifiche dell'estensione era possibile aprire una "sorta di plancia di comando", con la quale controllare il database del portale e, soprattutto, eseguire query, ovvero richiedere la lettura dei dati contenuti all'interno del database.
Per effettuare l'operazione era necessaria una minima competenza di base sull'argomento, unico requisito per poter accedere all'intero database del portale.
Non era necessario alcuno strumento, o violare alcuna legge, per accedere ai dati sensibili, secondo Il Fatto Quotidiano, che cita il webmaster Fabrizio Vassallo:
Per quanto protette potessero essere le pagine, se io riesco ad accedere a questo pannello di controllo posso comunque prendermi i dati che voglio. Anzi grazie all’accesso diretto al database posso cercare i dati scegliendo pure che cosa voglio vedere. Come un vero e proprio motore di ricerca. Tutto lecito: solo che nessuno, tranne i gestori del portale, dovrebbero poterlo fare.
Il quotidiano è riuscito a disporre anche di file PDF relativi a documentazioni private, come raccomandate inviate da una società esterna alla Consip, con i "conti correnti intestati alla società vincitrice di bando" e i documenti dei rispettivi amministratori dell'azienda come, ad esempio, le carte d'identità.
Come scrive Vassallo, ci troviamo di fronte a una ingenua vulnerabilità che avrebbe permesso a qualsiasi utente malintenzionato di accedere a tutti i dati sviluppando un semplice software in grado di scansionare tutti i numeri finali dell'url, da 1 a 10.000, per scaricare i contenuti di tutte le pagine.
Si è corsi ai ripari?
La denuncia de Il Fatto Quotidiano è stata determinante, infatti, a seguito della stessa, il portale è ha provveduto ad implementare un sistema di riconoscimento (banalmente un form per il log-in specifico per gli amministratori), in modo che non è più possibile accedere alle informazioni.
Cosa dicono gli interessati?
Le modifiche sono arrivate in seguito alla replica di Consip, che sostiene che quanto disponibile a tutti fosse solamente materiale di dominio pubblico:
Il pannello a cui si riferisce l'articolo non è altro che la pagina iniziale del motore di ricerca interno alla piattaforma. [...] Attraverso il quale possono essere raggiunti solo documenti pubblici, senza possibilità di modificare né i dati e neppure il database, ma solo i criteri della ricerca.
scrive la Consip in risposta al pezzo del quotidiano
I documenti oggetto dell’articolo sono pubblicati sul sistema ed accessibili da un qualsiasi utente (anche non registrato al sistema) attraverso i normali percorsi di consultazione del portale Acquistinretepa.it.
continua la società che gestisce il portale. La risposta non ha convinto la redazione de Il Fatto Quotidiano, che scrive:
È per questo che è perfino scaricabile l'appunto dei vostri tecnici inerente agli aggiustamenti grafici da apportare al sito?
È un fatto, poi, che dopo alcune ore dalla pubblicazione del nostro articolo, il portale sia stato modificato [...] Ora per inserirsi nel sistema occorrono Id e password come in qualsiasi altro sito. Segno che quanto da noi denunciato era effettivamente una grossa anomalia.
Come siamo ormai abituati a vedere, se le segnalazioni non arrivano dall'esterno (vedi inchieste giornalistiche/televisive), lo Stato chiude un occhio, e forse anche tutti e due. Non voglio pensare, che chi di dovere, non fosse giunto alla stessa conclusione, prima della segnalazione. Cosa ha impedito allora di risolvere il problema o addirittura evitarlo già a monte?
0 commenti:
Posta un commento