Dati a spasso: nomi, cognomi, firme e altri dati di soccorritori lombardi e dei loro utenti
31 de Janeiro de 2023, 9:06Non si capisce se sia incoscienza, disinvoltura o ignoranza, ma è impressionante la quantità di organizzazioni che mette su alla bell’e meglio una pagina Web con i dati personali dei dipendenti, clienti o collaboratori “perché così è comodo e possiamo consultarli facilmente”.
Vero, ma altrettanto facilmente può consultarli anche chiunque altro. A quanto pare non è ancora stata capita diffusamente la lezione fondamentale che non basta non dire a nessuno dove si trovano i dati e così nessuno li troverà: bisogna proteggerli attivamente. Perché ormai da anni ci sono i motori di ricerca generalisti, come Google, che permettono di trovare le pagine Web pubblicamente raggiungibili anche senza conoscerne l’indirizzo, e ci sono i motori di ricerca specializzati, come Shodan, che esplorano tutta Internet e catalogano i siti che hanno servizi troppo accessibili e quindi vulnerabili.
Ieri ho segnalato il caso di un elenco di clienti assicurativi della zona di Chieti, allegramente consultabile e modificabile da chiunque da chissà quanto tempo fino alla mia segnalazione; oggi è il turno di un servizio di soccorso sanitario della Lombardia, che pubblica su una pagina Web accessibile a Google (e a chiunque abbia un browser) nomi, cognomi, indirizzi e orari degli utenti che si avvalgono dei suoi servizi e molti altri dati, compresi i nomi e cognomi e le firme di numerosi soccorritori volontari o professionisti.
Domani, per esempio, Mattea B. dovrà essere trasportata da Predore a Sarnico; dopodomani Mario M. verrà portato da Villongo all’ospedale di Iseo, e così via.
E qui ci sono nomi, cognomi e ruoli del personale, con tanto di firma digitalizzata:
C’è anche un elenco di “personale che non timbra da più di 3 settimane”:
Tutto in HTTP; niente HTTPS, su un indirizzo IP di Telecom Italia, aperto sulle porte 443, 8045, 8445, 8545 (sulla 80 c’è una login a una VPN in HTTPS). Non ho trovato il modo di capire chi sia il responsabile di queste pagine e avvisarlo; nell’HTML non ci sono informazioni di identità e anche un reverse DNS lookup non trova nulla. Se avete idee, segnalatele nei commenti.
Poi la gente si chiede come mai i dati personali finiscono a spasso: elenco clienti assicurativi leggibile (e modificabile) da chiunque
31 de Janeiro de 2023, 6:24Sono momenti bellissimi quando ti segnalano, nel 2023 e dopo mille leggi sulla protezione dei dati, un capolavoro come questo aperto a chiunque in scrittura, su Internet, e ci trovi questa perla.
Tutto accessibile semplicemente usando un browser, immettendo le coordinate trovate su Shodan.
E tutto addirittura indicizzato anche da Google.
Sono a disposizione dell'azienda interessata (che è italiana, probabilmente della zona di Chieti) e dei suoi malcapitati clienti.
Ho contattato via mail quella che credo sia la ditta responsabile. Finora non ho avuto risposta. In compenso, la pagina Web non risulta più pubblicamente accessibile, ma la copia cache è ancora presente in Google, per cui non pubblico altre informazioni a parte una schermata in più, debitamente anonimizzata.
Capelli da record nello spazio?
31 de Janeiro de 2023, 6:23Credo che questa chioma batta tutti i record spaziali di capigliatura, o perlomeno dia del filo da torcere a Marsha Ivins in questa celebre foto del 2001 (grazie a Paolo Amoroso per la segnalazione). La cosmonauta Anna Kikina è a bordo della Stazione Spaziale Internazionale. Foto datata 22 gennaio 2023. Fonte: NASA su Flickr.
La foto di Ivins è la S98E5020, che per quel che ne so è disponibile solo a bassa risoluzione su Archive.org e in risoluzione leggermente migliore qui.
Poi la gente si chiede come mai i dati personali finiscono a spasso
30 de Janeiro de 2023, 9:48Sono momenti bellissimi quando ti segnalano, nel 2023 e dopo mille leggi sulla protezione dei dati, un capolavoro come questo aperto a chiunque in scrittura, su Internet, e ci trovi questa perla.
Tutto accessibile semplicemente usando un browser, immettendo le coordinate trovate su Shodan.
E tutto addirittura indicizzato anche da Google.
Sono a disposizione dell'azienda interessata (che è italiana, probabilmente della zona di Chieti) e dei suoi malcapitati clienti.
Podcast RSI - Spam in latino, spam su YouTube, mail che sembrano spam: chi è "BSA Compliance Solutions"?
27 de Janeiro de 2023, 5:55
È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.
Le puntate del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.
Buon ascolto, e se vi interessano i testi di accompagnamento e i link alle fonti di questa puntata, sono linkati qui sotto.
- Le mail da BSAcompliancesolutions.org sono autentiche? Sì, però attenzione
- Lo strano caso dello spam in latino
- Spam, SpaceX, Tesla e YouTube
