Un altro giorno, un altro documento con password del server visibile in Google: Regione Veneto



Il 22 gennaio scorso, a seguito di una segnalazione confidenziale, ho scritto questo tweet:

Ho cercato sul sito della Regione Veneto e ho trovato l’indirizzo del responsabile della protezione dei dati personali (DPO), ossia dpo[chiocciola]regione.veneto.it, e gli ho scritto subito questa mail:

Buongiorno,

sono un giornalista informatico, collaboratore della Radiotelevisione
Svizzera. Vi segnalo questo vostro documento, accessibile via web,
contenente le credenziali di accesso.

http://repository.regione.veneto.it/[OMISSIS].doc

Credo sia opportuno rimuoverlo e aggiornare le credenziali citate,
specificamente la password, qualora sia ancora corrente.

Cordiali saluti

Paolo Attivissimo

Sul sito, a quell’URL, c’era infatti un documento Word contenente login e password per accedere al repository del sito. Non ne riporto il testo e l’URL completo per ovvie ragioni.

Il documento è stato sostituito il giorno stesso con una nuova versione priva di dati sensibili e spero che anche la password sia stata cambiata, anche perché la rimozione di un documento accessibile via web non comporta automaticamente la scomparsa di tutte le copie di quel documento. Ma non posso sapere se la password è ancora valida, perché provarla potrebbe essere considerata una violazione di domicilio informatico. Non ho ricevuto una parola di risposta dal DPO, ma pazienza.

Continua insomma la litania dei siti che pubblicano disinvoltamente le proprie password in documenti accessibili a chiunque, senza pensare che qualunque documento visibile verrà indicizzato da Google e sarà quindi facilmente scopribile. I livelli di inettitudine e di incoscienza necessari per fare queste cose sono agghiaccianti. E non è ancora finita.



Commenti