Milano – Non sono stati giorni tranquilli quelli del week-end per il Comune di Milano e soprattutto per chi gestisce il sito www.comune.milano.it. Sito sul quale il LOA Hacklab milanese ha scoperto una URL che consentiva l’accesso con pochi clic ai dati personali di decine e decine di cittadini milanesi. Prima gli uomini del Comune hanno attaccato “gli hacker” che “manomettendo” il sistema sono riusciti a vedere quei dati. Poi, accortisi che chiunque ci poteva accedere semplicemente perché le pagine non erano protette, sono tornati sui propri passi ammettendo la leggerezza.
Al Corriere della Sera, Emiliano Ronzoni, responsabile del sito, aveva dichiarato che “gli hacker hanno forzato il sistema di sicurezza. Può darsi che ci siano delle falle, ma loro sono entrati con una chiave che si sono trovati autonomamente. Sono penetrati da una porta che era chiusa: non siamo certo noi a mettere in chiaro i nomi dei cittadini”. Sempre al Corsera, l’assessore ai servizi civici e all’informatica Giancarlo Martella rincarava la dose: “Risaliremo ai responsabili e li perseguiremo. Non è vero che il sito Internet del Comune non è protetto: ci sono firewall che lo difendono”.
A queste dichiarazioni sono seguite le spiegazioni degli scopritori del baco, quelli del LOA Hacklab , che hanno messo in chiaro come bastasse digitare un certo indirizzo per arrivare a quei dati, dati che erano “disponibili, senza alcuna forma di protezione della privacy”. Il LOA aveva spiegato: “Nessun atto di pirateria, nessuna password rubata, semplicemente un atto di incompetente leggerezza da parte di chi ora tenta di discolparsi accampando scuse tecnicamente improbabili”.
Solo a quel punto è arrivata l’ammissione di Ronzoni che, dopo aver affermato che il buco di sicurezza è stato chiuso, ha specificato che effettivamente l’indirizzo Web era aperto a chiunque sebbene “assolutamente sconosciuto ai normali fruitori”. Anche Martella, poi, ha ammesso che “la leggerezza è stata di non proteggere adeguatamente questo indirizzo, questo cassetto. Ma anche se l’avessimo messo per tempo in una cassaforte telematica, qualcuno avrebbe potuto scardinarla e questo è un problema di carattere nazionale che riguarda il sistema, sia pubblico che privato”.
Secondo Martella nel nostro paese “manca un’Agenzia nazionale per la sicurezza informatica, che c’è invece negli Usa e in Germania, e quindi siamo più esposti”. Dal che è lecito dedurre che, secondo l’assessore, l’aver lasciato una URL pubblica di accesso a dati privati è colpa della mancanza di un’agenzia nazionale di sicurezza.
Martella ha concluso le sue esternazioni chiedendo “scusa ai milanesi per il disguido che si è creato”. Nessun ringraziamento è stato invece rivolto agli scopritori del “bug”. Il tutto, infine, è ora sulla scrivania del Garante per la privacy a cui il LOA Hacklab ha presentato una segnalazione sulla vicenda.