Regione Veneto: la password del server è online

Regione Veneto: la password del server è online

Disponibile online un documento Word contenente la password per un server della Regione Veneto: un piccolo esempio di una pratica dura da eliminare.
Disponibile online un documento Word contenente la password per un server della Regione Veneto: un piccolo esempio di una pratica dura da eliminare.

Conservare le password di un server su un file in chiaro è una pratica del tutto scomposta, poiché consente ad un eventuale malintenzionato di potervi accedere. Se poi questo file viene pubblicato online e messo a disposizione di chiunque, allora ecco che l’epic fail è servito. Ed è quanto successo alla Regione Veneto.

Regione Veneto, online il file con la password

La scoperta è di Paolo Attivissimo, il quale scrive sul proprio sito di aver cercato i responsabili, ma di non aver ricevuto risposta:

Il documento è stato sostituito il giorno stesso con una nuova versione priva di dati sensibili e oso sperare che anche la password sia stata cambiata, perché il documento originale risaliva al 18 luglio 2012 (il che significa che nel 2012 era valido e a qualcuno pareva sensato mettere online la propria password).

Ma la rimozione di un documento accessibile via web non comporta automaticamente la scomparsa di tutte le copie di quel documento, e in più non posso sapere se la password è ancora valida, perché provarla potrebbe essere considerata una violazione di domicilio informatico. Non ho ricevuto una parola di risposta dal DPO, ma pazienza.

La password è valida? Cosa c’è nel server in questione? Attivissimo non lo spiega, poiché non sarebbe stato prudente:

non posso sapere se la password è ancora valida, perché provarla potrebbe essere considerata una violazione di domicilio informatico.

La segnalazione è comunque stata inviata e la Regione potrà pertanto provvedere alle verifiche del caso.

Un problema isolato, una fatalità, un errore in buona fede? Certo. Ma se problemi similari colpiscono il Touring Club, il Senato e la intranet di Forza Italia (solo per restare sulle ultime segnalazioni stello stesso Attivissimo), allora il problema è forse ben più ampio e grave perché trattasi di problema culturale in tema di sicurezza informatica.

Attivissimo fa notare come il file sia peraltro firmato e basta una breve ricerca per capire che proviene direttamente dall’entourage del team comunicazione della presidenza.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 25 gen 2021
Link copiato negli appunti