di

Alcuni ricercatori informatici hanno scoperto una grave falla nel sistema vaccinale della Regione Campania, che ha permesso e sta permettendo ai cittadini over 80 di registrarsi per l'inoculazione del vaccino anti-Covid. Il bug, fortunatamente risolto, ha esposto i dati personali ed i numeri di telefono dei cittadini.

Come racconta il divulgatore Matteo Flora, la leggerezza (che secondo quanto trapelato sarebbe dovuta ad un errore di configurazione del sistema) ha reso accessibili i numeri di cellulare e le email dei vaccinandi o vaccinati, inclusi quelli del presidente della regione, Vincenzo De Luca.

Ovviamente Flora prima di pubblicare il video che trovate in apertura ha informato Palazzo Santa Lucia, per consentire ai tecnici della Regione di correggere la falla. Contestualmente, ha anche informato il Garante Per La Privacy.

Il ricercatore afferma racconta di essere riuscito a recuperare il codice fiscale di De Luca attraverso uno dei numerosi tool presenti online che permettono di effettuare il calcolo, per ottenere il suo numero di cellulare, che ha utilizzato per informarlo del problema.

In precedenza un problema simile era stato riscontrato anche nei sistemi dell'ATS Milano, che durante la prima fase della pandemia ha anche inviato erroneamente degli SMS agli utenti.

Nel caso della Campania, non sappiamo quanto sia stata sfruttata la falla, ma fortunatamente è stata risolta tempestivamente.

Aggiornamento 22 Febbraio ore 12:05 - Di seguito la nota ufficiale di Soresa sulla questione:

"Le verifiche tecniche svolte da So.Re.Sa. SpA consentono di affermare che gli accessi non autorizzati a dati del sistema informativo per la fase di adesione alla campagna vaccinale Covid19 in Regione Campania sono avvenute non per il tramite dell’interfaccia utente del portale, ma solo per il tramite di strumenti informatici che richiedono una competenza specifica ed uno specifico intento di violazione.

Gli accessi non autorizzati, che hanno riguardato i dati di poche unità di utenti, non avrebbero potuto in alcun modo modificare i dati degli utenti gestiti dal portale di adesione né rendere fruibili informazioni sullo stato vaccinale del cittadino; quest'ultimo dato, peraltro, non è gestito dal portale in questione.

A seguito dell’attacco – dichiarato da chi l’ha reso pubblico con un intento dimostrativo - So.Re.Sa. SpA ha prontamente inibito la possibilità del ripetersi di tali tipologie di accesso non autorizzato."

Quanto è interessante?
5