“Un audit da trenta minuti per far crollare il castello”, scriveva sul suo blog personale l’esperto di sicurezza informatica Giovanni Rocca, che, nel marzo 2020, si è introdotto nel sistema informatico di Lazio doctor covid (LaziodrCovid), svelandone importanti falle informatiche. L’app – ora non più attiva – realizzata dalla società in-house regionale LazioCrea serviva a favorire il collegamento tra i pazienti cronici e sotto sorveglianza e il loro medico curante, permettendo di condividere informazioni personali come temperatura e pressione sanguigna al proprio medico di base, nel periodo più nero della pandemia da coronavirus.
La frase citata è il titolo dell’articolo in cui Rocca ha raccontato per filo e per segno le vulnerabilità riscontrate utilizzando l’app. Si tratta di gravi errori di configurazione del sistema, che in gergo tecnico sono chiamate vulnerabilità informatiche. L’individuazione e lo sfruttamento di tali falle da parte di un attaccante male intenzionato può essere un grosso problema, perché possono compromettere la sicurezza dell’intero sistema. Tuttavia, non è stato questo il caso di Rocca, che nell’app ci è entrato per guardare come e cosa non funzionasse, ma poi si è limitato a segnalarlo pubblicamente. Esporre le vulnerabilità di un sistema è un’azione nobile perché permette, a chi di dovere, di correggere un errore che altrimenti potrebbe essere sfruttato da persone con scopi magari illeciti, e avere risvolti peggiori.
Una volta entrato nell’applicazione LaziodrCovid tramite indirizzo email, numero di telefono e codice fiscale di una terza persona residente nella regione Lazio (che ha acconsentito a tale utilizzo), il sistema forniva un token di accesso, ovvero un codice che contiene informazioni sul singolo utente e sulle azioni che può compiere. Rocca ha riscontrato come il codice non fosse verificato né validato dal sistema, e quindi potesse essere utilizzato per visionare non solo le informazioni dell’utente per cui accedeva, ma anche quelle di tutti gli altri pazienti.
Sul suo blog, l’esperto di sicurezza informatica, ha anche raccontato come il sistema permettesse la modifica – e quindi la possibile alterazione – del parametro “temperatura corporea” di un famigliare del paziente che gli aveva fornito le credenziali di accesso. In pratica, l’app LaziodrCovid forniva accesso a dati biometrici e personali di tutti gli utenti iscritti.
Fonte : Wired