Regione Veneto: la password del server è online

Regione Veneto: la password del server è online

Disponibile online un documento Word contenente la password per un server della Regione Veneto: un piccolo esempio di una pratica dura da eliminare.
Disponibile online un documento Word contenente la password per un server della Regione Veneto: un piccolo esempio di una pratica dura da eliminare.

Conservare le password di un server su un file in chiaro è una pratica del tutto scomposta, poiché consente ad un eventuale malintenzionato di potervi accedere. Se poi questo file viene pubblicato online e messo a disposizione di chiunque, allora ecco che l'epic fail è servito. Ed è quanto successo alla Regione Veneto.

Regione Veneto, online il file con la password

La scoperta è di Paolo Attivissimo, il quale scrive sul proprio sito di aver cercato i responsabili, ma di non aver ricevuto risposta:

Il documento è stato sostituito il giorno stesso con una nuova versione priva di dati sensibili e oso sperare che anche la password sia stata cambiata, perché il documento originale risaliva al 18 luglio 2012 (il che significa che nel 2012 era valido e a qualcuno pareva sensato mettere online la propria password).

Ma la rimozione di un documento accessibile via web non comporta automaticamente la scomparsa di tutte le copie di quel documento, e in più non posso sapere se la password è ancora valida, perché provarla potrebbe essere considerata una violazione di domicilio informatico. Non ho ricevuto una parola di risposta dal DPO, ma pazienza.

La password è valida? Cosa c'è nel server in questione? Attivissimo non lo spiega, poiché non sarebbe stato prudente:

non posso sapere se la password è ancora valida, perché provarla potrebbe essere considerata una violazione di domicilio informatico.

La segnalazione è comunque stata inviata e la Regione potrà pertanto provvedere alle verifiche del caso.

Un problema isolato, una fatalità, un errore in buona fede? Certo. Ma se problemi similari colpiscono il Touring Club, il Senato e la intranet di Forza Italia (solo per restare sulle ultime segnalazioni stello stesso Attivissimo), allora il problema è forse ben più ampio e grave perché trattasi di problema culturale in tema di sicurezza informatica.

Attivissimo fa notare come il file sia peraltro firmato e basta una breve ricerca per capire che proviene direttamente dall'entourage del team comunicazione della presidenza.

Link copiato negli appunti

Ti potrebbe interessare

25 01 2021
Link copiato negli appunti