ROMA (WSI) – Il portale degli acquisti della pubblica amministrazione è un colabrodo. Non è un modo di dire: il sito web, creato per la razionalizzazione delle forniture è praticamente accessibile da chiunque anche nelle pagine che dovrebbero essere protette, perché contenenti dati sensibili. Un vero problema per un portale che gestisce offerte e bandi dei vari enti. Il bello è che a entrare nei settori del sito che non dovrebbero essere accessibili non si compie alcun reato: semplicemente dovrebbero essere i gestori del sito a proteggere quelle pagine.
Ilfattoquotidiano.it ha fatto una prova: dopo aver digitato https://www.acquistinretepa.it/, basta aggiungere un’estensione facilmente individuabile da chi capisca di siti web per trovarsi davanti a un pannello. Un qualsiasi webmaster comprende subito che è da lì che si gestiscono le credenziali, che si decide cioè quali utenti possono fare cosa, e quindi modificare tranquillamente le impostazioni. Si può modificare il sito degli acquisti della pubblica amministrazione senza digitare alcuna password, senza essere registrati, senza effettuare alcun login. E lo può fare chiunque, comodamente dal pc di casa sua. Nel video che pubblichiamo, abbiamo oscurato le url utilizzate per non dare indicazioni a eventuali malintenzionati.
Ma non è finita. Con semplici modifiche dell’estensione è possibile aprire una sorta di plancia di comando che non dovrebbe essere pubblica: “Da questa pagina – spiega a ilfattoquotidiano.it il webmaster Fabrizio Vassallo – è possibile controllare alcune parti del sistema, come il database, e soprattutto è possibile eseguire delle query, ovvero delle richieste di lettura dei dati lì contenuti”. Basta conoscere un minimo il linguaggio utilizzato, ed ecco che è possibile acquisire l’intero database del portale, tutto ciò senza violare praticamente nulla.
“Quindi – continua il webmaster – per quanto protette potessero essere le pagine, se io riesco ad accedere a questo pannello di controllo posso comunque prendermi dati che voglio. Anzi grazie all’accesso diretto al database posso cercare i dati scegliendo pure che cosa voglio vedere. Come un vero e proprio motore di ricerca. Tutto lecito: solo che nessuno, tranne i gestori del portale, dovrebbero poterlo fare”.
Il sito è un pozzo senza fondo. Anche i pdf di documenti sensibili sono facilmente accessibili da chiunque. Un esempio? Aggiungendo all’url principale una determinata estensione, ecco che scarichiamo sul nostro pc la raccomandata inviata da una società che si occupa di buoni pasto alla Consip, la centrale acquisti della pubblica amministrazione. Oggetto della raccomandata la comunicazione dei conti correnti intestati alla società vincitrice di bando, e perfino i documenti d’identità degli amministratori dell’azienda. Dati chiaramente sensibili, soprattutto le carte d’identità, che dovrebbero essere protetti in maniera che nessuno violi la privacy dei soggetti interessati.
“Il problema – continua Vassallo – consiste nel fatto che queste informazioni non dovrebbero essere pubbliche , non basta quindi usare un indirizzo complesso per arrivare ad esse, specialmente certi sistemi come questo, utilizzano un id, un indice, che identifica il tipo di informazione, a quel punto basta cambiarlo e vedere cosa c’è dopo”. E infatti basta cambiare il numero finale dell’Url per avere accesso praticamente a qualsiasi cosa: cambiando un solo numero addirittura scarichiamo degli appunti assolutamente privati dei gestori del sito, che ne commentano l’impostazione.
“Io stesso – continua il web master – potrei sviluppare un programmino che scansiona tutti i numeri finali dell’url, da 1 a 10mila e scaricare il contenuto della pagina. Per evitare questo si deve creare un sistema di autenticazione, cosicché anche se scorri tutti gli id, il sistema controlla che tu abbia i privilegi di lettura della pagina”. Un sistema di autenticazione però al momento non c’è. E chiunque può accedere al portale degli acquisti della pubblica amministrazione e acquisire dati personali, ma anche carteggi privati, conti correnti: tutti elementi che hanno a che fare con la spesa pubblica. “È inquietante – conclude il webmaster – il fatto che a un sito della pubblica amministrazione non siano state applicate le regole più basilari per la sicurezza, e siamo messe in bella mostra informazioni sensibili che chiunque con un minimo di preparazione può ottenere e utilizzare per i più svariati scopi”. E nessuno può escludere che ciò non sia già avvenuto.
Copyright © Il Fatto Quotidiano. All rights reserved
