Non si capisce se sia incoscienza, disinvoltura o ignoranza, ma è impressionante la quantità di organizzazioni che mette su alla bell’e meglio una pagina Web con i dati personali dei dipendenti, clienti o collaboratori “perché così è comodo e possiamo consultarli facilmente”.

Vero, ma altrettanto facilmente può consultarli anche chiunque altro. A quanto pare non è ancora stata capita diffusamente la lezione fondamentale che non basta non dire a nessuno dove si trovano i dati e così nessuno li troverà: bisogna proteggerli attivamente. Perché ormai da anni ci sono i motori di ricerca generalisti, come Google, che permettono di trovare le pagine Web pubblicamente raggiungibili anche senza conoscerne l’indirizzo, e ci sono i motori di ricerca specializzati, come Shodan, che esplorano tutta Internet e catalogano i siti che hanno servizi troppo accessibili e quindi vulnerabili.

Ieri ho segnalato il caso di un elenco di clienti assicurativi della zona di Chieti, allegramente consultabile e modificabile da chiunque da chissà quanto tempo fino alla mia segnalazione; oggi è il turno di un servizio di soccorso sanitario della Lombardia, che pubblica su una pagina Web accessibile a Google (e a chiunque abbia un browser) nomi, cognomi, indirizzi e orari degli utenti che si avvalgono dei suoi servizi e molti altri dati, compresi i nomi e cognomi e le firme di numerosi soccorritori volontari o professionisti.

Domani, per esempio, Mattea B. dovrà essere trasportata da Predore a Sarnico; dopodomani Mario M. verrà portato da Villongo all’ospedale di Iseo, e così via.

E qui ci sono nomi, cognomi e ruoli del personale, con tanto di firma digitalizzata:

Tutto in HTTP; niente HTTPS, su un indirizzo IP di Telecom Italia, aperto sulle porte 443, 8045, 8445, 8545 (sulla 80 c’è una login a una VPN in HTTPS). Non ho trovato il modo di capire chi sia il responsabile di queste pagine e avvisarlo; nell’HTML non ci sono informazioni di identità e anche un reverse DNS lookup non trova nulla. Se avete idee, segnalatele nei commenti.