Dati a spasso, edizione comuni e ospedali italiani 2023

Nomi, cognomi, telefoni, mail e codici fiscali di chi prenota servizi.



[ZEUS News - www.zeusnews.it - 28-03-2023]

ospedale

Dopo anni di GDPR e di tentativi di fare educazione alla protezione dei dati, succedono ancora cose come questa: sto ricevendo segnalazioni multiple di un sito italiano che raccoglie prenotazioni per servizi di comuni e di strutture ospedaliere e espone pubblicamente tutti i dati di chi lo usa.

I dati sono accessibili semplicemente usando un qualunque browser e visitando un indirizzo Web estremamente banale: non servono login, password o altro. Comodamente ripartiti per Comune o ente ospedaliero, si trovano nomi, cognomi, luoghi di nascita, date di nascita, codici fiscali, date e orari di prenotazione e relative motivazioni. Ci sono anche prenotazioni di "procedure sanzionatorie" di almeno una polizia municipale.

Per ovvie ragioni di responsible disclosure per ora non posso pubblicare il nome del sito, mostrare screenshot o citare testualmente i contenuti mandati a spasso. Posso solo dire che i servizi sanitari e comunali coinvolti sono decine, che i dati degli utenti messi in pubblico sono centinaia e che il sito è gestito da una Srl della zona di Torino.

Sarebbe assolutamente banale, per un truffatore o un vandalo, telefonare al signor Claudio che si è rivolto a questo sito per prenotare un servizio presso il Comune di Vittorio Veneto e dirgli che il suo appuntamento è stato annullato oppure che c'è una tassa da pagare anticipatamente. Il truffatore avrebbe tutti i dati necessari per sembrare estremamente credibile e quindi farsi pagare l'inesistente tassa tramite carta di credito. Anche i truffatori che usano la tecnica del "falso nipote" farebbero indigestione con questi dati. E posso solo immaginare i danni e i disagi che si potrebbero causare ad Alessia, per esempio telefonandole e dicendo che c'è un problema serio con il verbale di polizia numero 503*****/2022/R che la riguarda.

Leggi anche:
Centomila messaggi WhatsApp a spasso
BlueBleed, a spasso i dati privati di oltre 150.000 organizzazioni
Dati a spasso nel cloud
Auto Hyundai “hackerata”

"Se vuoi informarti su come trattiamo i tuoi dati clicca qui", dice il sito (ho cambiato alcune parole per evitare di facilitarne l'identificazione), linkando la propria privacy policy. Purtroppo so già benissimo come vengono trattati, e potrei descriverlo con parole forse poco tecniche ma sicuramente molto colorite e concise. Ma questo è un blog per famiglie e quindi mi trattengo.

Ho inviato immediatamente una PEC al DPO del sito, mettendo in copia il Garante per la Privacy italiano (protocollo(chiocciola)pec.gpdp.it), come suggerito qui e come indicato nella sua pagina dei contatti.

Proposte di lettura:
Come fanno i truffatori a rubare soldi dai conti correnti?
Allora, i messaggi di WhatsApp sono cifrati e privati o no?
La seduttrice informatica assetata di bitcoin
Stuxnet, il virus informatico più distruttivo della storia

Oggetto: Dati personali pubblicamente accessibili

Buongiorno, sono un giornalista informatico collaboratore della Radiotelevisione Svizzera.

Mi arrivano segnalazioni multiple di dati sensibili di utenti che sono pubblicamente accessibili a chiunque con una semplice consultazione via Web sul sito [***omissis***]. Presumo quindi che la falla sia ormai nota e circolante.

URL: [***omissis***]

Allego campione in coda a questa mail.

Per qualunque chiarimento potete telefonarmi al mio numero diretto [***omissis***].

Cordiali saluti

Paolo Attivissimo

[***campione di dati omesso***]

La mia PEC di avviso è stata spedita oggi alle 16:56 italiane ed è stata regolarmente consegnata alla casella di destinazione del Garante; non ho conferme di consegna all'indirizzo mail del DPO, che è una casella di mail normale (non PEC).

Vediamo cosa succede. Intanto ringrazio le persone che mi hanno segnalato il problema. Se a qualcuno dovesse servire, la modulistica per reclami e segnalazioni presso il Garante italiano è qui; la relativa scheda informativa è invece qui.

Ti raccomandiamo anche:
Bancomat violabili usando semplicemente uno smartphone
Nuova tecnica contro il ransomware: ingannare il sistema di pagamento
Cose da non fare in videoconferenza: guidare e fingere di essere in ufficio
Il disastro tragicomico di Parler

Aggiornamento. Ieri ho ricevuto dai gestori del sito una mail nella quale mi hanno comunicato di aver corretto la falla e di essersi attivati per la segnalazione del data breach al Garante e per tutte le comunicazioni opportune. In effetti a un primo controllo non sembrano esserci dati personali visibili.

Sullo stesso tema:
Ho-mobile ammette la violazione dei dati dei clienti
Ho-mobile, rischio sicurezza per due milioni e mezzo di utenti
Campari colpita da un attacco ransomware
Le parole di Internet: smishing

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (4)


Gladiator
Già, poveri truffatori così incredibilmente spiazzati dall'incompetenza di chi dovrebbe rendergli difficile il lavoro... :roll:
2-4-2023 16:08

zeross
Come fà un povero truffatore ad ingegnarsi di escogitare nuove pratiche di ingegneria sociale per carpire informazioni sensibili, quando una società fessa te le mette in bella mostra a tutti! :weeps: Dovrebbero fare delle pubbliche manifestazioni di protesta per la tutela della sana professione di truffatore, vituperata da azioni di... Leggi tutto
29-3-2023 19:30
anyfile
Con DPO intendi "Data Protection Officer" cioè il "Responsabile della protezione dei dati"? A proposito di questa questione (è un po' diversa e meno grave, ma qualche attinenza c'è) un paio di giorni fa mi era venuta in mente la seguente cosa: molti siti hanno nella sezione contatti non un indirizzo email, ma un form... Leggi tutto
28-3-2023 19:45
{Roberto}
L'articolo riporta la data 28-03-2023, Paolo scrive di aver spedito la PEC "oggi alle 16:56 italiane". Qualcosa non quadra, sto leggendo l'articolo il 28-03-2023 e sono le 15:01. Saluti
28-3-2023 15:02
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quali sono i principali ostacoli che ti frenano nell'acquisto di prodotti per una smart home?
Non ne capisco molto di prodotti per la domotica.
Semplicemente non sono interessato a comprare prodotti per la domotica.
Non vedo molti benefici dai prodotti per la domotica.
I prodotti per la domotica sono troppo costosi.
Non ho mai visto un prodotto per la domotica in negozio.
Non ho mai visto un prodotto per la domotica online.

Mostra i risultati (1283 voti)
Aprile 2024
n. 3803 del 24-04-2024
Enel nel mirino dell'Antitrust per le bollette esagerate
n. 3802 del 21-04-2024
TIM, altre ''rimodulazioni'' in arrivo
n. 3801 del 18-04-2024
L'algoritmo di ricarica che raddoppia la vita utile delle batterie
n. 3800 del 12-04-2024
Hype e Banca Sella, disservizi a profusione
n. 3799 del 11-04-2024
Falla nei NAS D-Link, ma la patch non arriverà mai
n. 3798 del 09-04-2024
La navigazione in incognito non è in incognito
n. 3797 del 05-04-2024
Le tre stimmate della posta elettronica
n. 3796 del 03-04-2024
Amazon abbandona i negozi coi cassieri a distanza
Marzo 2024
n. 3795 del 30-03-2024
Buone azioni e serrature ridicole
n. 3794 del 26-03-2024
Il piano Merlyn, ovvero la liquidazione di Tim
n. 3793 del 23-03-2024
Falla nelle serrature elettroniche, milioni di stanze d'hotel a rischio
n. 3792 del 21-03-2024
L'antenato di ChatGPT in un foglio Excel
n. 3791 del 19-03-2024
La valle inquietante
n. 3790 del 15-03-2024
La crisi di Tim e la divisione sindacale
n. 3789 del 12-03-2024
La fine del mondo, virtuale
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 26 aprile
2022
Elon Musk è il nuovo proprietario di Twitter
2021
Cellebrite attacca Signal, il creatore di Signal rende tossico Cellebrite
2019
Alexa, ecco come disabilitare l'ascolto
2018
Tenere attivo ''OK Google'' significa mandare pezzi di conversaz...
2017
I viaggi in aereo di oggi sono più lenti. Perché?
2015
Autovelox, Kim Dotcom rischia espulsione da Nuova Zelanda
2014
Pale eoliche come in un alveare
2013
Western Digital, l'hard disk da 5mm è arrivato
2012
Niente più ispezioni per le videocamere sui posti di lavoro
2011
L'orologio ufficiale di Al Qaeda
2010
Hawking: "Fate attenzione agli alieni"
2009
Una Botnet da 1,9 milioni di Pc
2008
Indovina cosa viene a cena
2007
Wind e la Sim che scade
2006
Creative Commons si allea con l'open-DRM (parte 2)
2005
Il digitale terrestre di Albertini
2003
L'EUCD fa male agli utenti
2002
Trasporto sicuro di dati
Olimpo Informatico


 
web metrics