Attraverso il codice fiscale era possibile risalire alle informazioni personali delle persone che hanno ricevuto il vaccino contro Covid-19. Risolto il bug, allertato il Garante della privacy
A causa di una vulnerabilità sul portale informatico per le vaccinazioni, la Regione Campania ha esposto i dati dei suoi cittadini a chiunque volesse conoscerne indirizzo di residenza o numero di telefono. Ad avvisare i tecnici di palazzo Santa Lucia è stato l’esperto informatico e imprenditore Matteo Flora, che la mattina del 16 febbraio ha pubblicato un video nel quale descrive il problema di configurazione – ora risolto – della piattaforma. “Ma prima di metterlo online l’ho mandato a De Luca (Vincenzo, presidente della regione Campania, ndr) e all’Autorità garante per la privacy, così che la regione avesse il tempo di risolvere il problema”, ha commentato Flora a Wired.
Con 263mila dosi somministrate (l’87,3% di quelle disponibili), la Campania è la quinta regione per quantità di persone che hanno avviato la procedura per l’immunizzazione dal Covid-19. Questo anche grazie al portale informatico sviluppato dalla Società regionale per la sanità (Soresa) e dalla regione Campania, che da fine gennaio gestisce la vaccinazione degli ultraottantenni e, da ieri, quelle per docenti e personale scolastico.
La falla nella sicurezza
L’accesso al portale è vincolato al possesso del codice fiscale dell’utente e del suo numero di tessera sanitaria. Tuttavia, un problema nelle Api (acronimo di Application Programming Interface: l’insieme di comandi che interfacciano un’applicazione web con il server) ha fatto sì che fosse possibile accedere anche solamente con il codice fiscale, senza quindi bisogno di conoscere anche il numero di tessera sanitaria.
Così ha fatto, come mostrato nel suo video, Matteo Flora, che ha recuperato il codice fiscale del presidente della regione Campania (facilmente reperibile in rete) e ha effettuato l’accesso. Non una vulnerabilità sfruttabile da chiunque (dalla pagina principale del sito, un utente comune avrebbe comunque dovuto inserire il numero di tessera sanitaria), ma sufficientemente facile da essere scoperta in pochi giorni. Proprio grazie a questo errore di configurazione, Flora ha potuto ricavare il numero di cellulare di De Luca, che ha usato per avvisarlo del problema.
“Il problema è che le Api erano proprio congegnate male – prosegue Flora – e quindi un utente abbastanza determinato avrebbe potuto generare massivamente dei codici fiscali in modo da acquisire tutti i dati degli utenti”. Un rischio che dovrebbe essere stato sventato nottetempo, grazie alla segnalazione di Flora, inviata in copia anche al Garante privacy, che è intervenuto immediatamente per accertarsi che i tecnici della regione risolvessero il problema, come confermato a Wired da persone informate sui fatti. 
Il precedente a Milano
Qualcosa di simile è successo a Milano a novembre. Inserendo cellulare e il codice fiscale di un cittadino della provincia di Milano su Milano Cor, il portale realizzato dall’agenzia della tutela della salute ambrosiana (Ats) per raccogliere informazioni sui contagiati nella provincia allora più colpita d’Italia dalla seconda ondata di coronavirus e alleggerire il lavoro del personale impegnato nel contact tracing, il sito rispondeva in chiaro, specificando se l’utente era già registrato. Questo era un indizio più che sufficiente per inquadrarlo come positivo al test del Sars-Cov-2. Anche in questo caso è stato Flora a evidenziare la falla nel sistema di protezione delle informazioni. Subito è intervenuta l’Autorità garante per la protezione dei dati, che ha aperto un’indagine sul portale di Ats Milano. Allora l’ente ha messo offline il sito, per poi riattivarlo senza il bottone per inserire il codice via sms.
Leggi anche
Potrebbe interessarti anche