Sottratte password e id dal database: un atto dimostrativo per sottolineare la vulnerabilità del sistema. Le email di allarme del giovane sono state ignorate dai funzionari della PA.
Il dipartimento di Funzione Pubblica, ossia l’istituzione governativa che si occupa di digitalizzare la PA, si è fatta bucare un sito da un ragazzo di 17 anni, a causa di un errore banale di configurazione dei sistemi e per la mancanza di politiche di gestione della sicurezza. È quanto accaduto ieri, a opera del noto ”hacker” Kapustkiy (ma lui rifiuta questa definizione), ai danni del sitoMobilita.gov.it (ora in manutenzione), del dipartimento di Funzione Pubblica, sotto la Presidenza del Consiglio.
Si tratta di un ragazzo di 17 anni, forse di origine ucraina. Ha pubblicato su Pastebin le prove della sua incursione. Grazie a una banale falla dei sistemi, tramite la tecnica basilare Sql Injection, ha sottratto 9 mila credenziali, da un database che contiene quelle di 45 mila utenti (dipendenti pubblici).
The Government don’t take a average person seriously (Me) so I would like that they are going to apologize to me and start reading my mails.
Kapustkiy è noto nel settore. Prende di mira le vulnerabilità di siti istituzionali, di vari Paesi del mondo (perlopiù in via di sviluppo), per denunciarne i bassi livelli di sicurezza. Infatti ha voluto limitarsi a pubblicare solo parte del database, quando avrebbe potuto comprometterlo del tutto; e – come suo solito – ha subito denunciato il fatto ai responsabili del sito, per allertarli e spingerli a rimediare. Senza però avere risposta. ”E’ probabilmente questo il problema più grave, sintomo di quanto sia scarsa la cultura informatica per la sicurezza dei dati pubblici in Italia”, commenta Andrea Rigoni, di Intellium-Deloitte, consulente della Nato e di vari governi (in passato anche di quello italiano) per i temi della cybersicurezza.
Su quest’ultimo aspetto, però, le cose non sono chiare: dal dipartimento fanno sapere che in realtà il ragazzo ha mandato la mail non ai responsabili ma a chi aveva registrato il sito anni prima (a quanto risulta nei dati pubblici di registrazione) e che ora non ha più ruolo nella struttura. ”Riassumiamo. È come se un ladro non professionista, minorenne, fosse riuscito a introdursi in un palazzo del governo, armato solo di grimaldello, dove ci sono documenti riservati. E non sia scattato nessun allarme anche se il ladro si è messo a gridare per attirare l’attenzione delle guardie”, spiega Rigoni.
The funny thing about this is that I’m not even a hacker but the media is keeping pushing that I’m a hacker.
”La cosa divertente di tutta questa storia è che non sono nemmeno un hacker, ma i media continuano a sostenerlo” scrive commentando le sue gesta in un tweet. Eppure l’attacco rivelato tre falle. ”Primo, la configurazione del sito è stata fatta in modo disattento e incompetente, – prosegue Rigoni – dato che quel particolare errore di configurazione è molto banale e non è più ammissibile al giorno d’oggi. Secondo, non ci sono sistemi automatici di rilevazione dell’errore. Terzo – ed è la cosa più grave – non c’è nemmeno un processo, una organizzazione di gestione della sicurezza perché nessuno ha dato ascolto al ragazzo”. Al netto di quest’ultimo punto, che è ancora dubbio, resta che ”questi bassi livelli di sicurezza sono un pericolo per tutti i cittadini – dice Rigoni. – Nel caso di quel sito è a rischio forse solo la privacy dei dipendenti pubblici. Ma è possibile che da quella vulnerabilità è possibile compromettere anche la sicurezza di servizi importanti, per esempio i database delle cartelle cliniche dei pazienti o i trasporti pubblici”.
Lascia un commento