La Regione ha chiuso la finestra, e lo ha fatto dopo l’inchiesta del Mattino di Padiova. A poche ore dal servizio pubblicato dal quotidiano che denunciava la possibilità di scaricare certificati sanitari personali, senza alcun limite, dai siti delle Usl venete, la Regione ha risolto il problema. O meglio, ha tamponato il rischio “congelando” la piattaforma web a rischio manipolazione.
DATI SENSIBILI NON PROTETTI Andiamo con ordine. Ieri il nostro giornale ha pubblicato un servizio che segnalava la possibilità, da parte di qualsiasi utente, di accedere a un sito della Regione Veneto dedicato alla sorveglianza Covid e di scaricare i certificati di altri cittadini. Con pochi click e con qualche numeretto messo al posto giusto — cose che si possono fare anche senza essere maghi informatici — era possibile accedere a un archivio sterminato di dati sensibili. Nello specifico: i certificati di negativizzazione e le comunicazioni di sorveglianza sanitaria che le varie Usl del Veneto inviano ai cittadini che hanno contratto il Covid.
HACKER FAI DA TE Come? Era sufficiente memorizzare un url (un indirizzo web) e modificare due numeretti. I cosiddetti ID, che nel caso specifico rappresentavano il “codice paziente” e il “codice episodio”. Fatta questa semplice modifica, nel proprio pc o nel proprio smartphone si potevano scaricare i documenti di altri cittadini, con indicati dati anagrafici (nome, cognome, luogo e data di nascita) e dati sanitari personali (data di effettuazione del tampone, esito, durata del periodo di isolamento). Chiunque, dunque, poteva trasformarsi in un piccolo “hacker” (consapevole di commettere forse anche un reato, sia chiaro) ed esclusivamente per colpa di banali errori di programmazione da parte degli informatici che hanno curato il sito in questione. Inutile dire che questo è estremamente grave, a maggior ragione se si pensa che solo due mesi fa l’Usi 6 Euganea è stata oggetto del più grave attacco informatico mai subito da un ente pubblico veneto, che ha portato alla diffusione di ben 9 mila file colmi di dati sensibili: diagnosi, cartelle sanitarie, comunicazioni riservate, cedolini di pagamento, turni di lavoro.
L’INTERVENTO DOPO LA DENUNCIA Ieri mattina, con la pubblicazione della nostra inchiesta, la Regione ha tamponato (non risolto) il problema. Gli url che prima erano facilmente manipolabili sono diventati “chiusi”: anche variando gli ID, da ieri mattina non è stato più possibile scaricare certificati altrui. Gli informatici della Regione hanno evidentemente inserito (tardivamente) un ulteriore livello di autorizzazione. Non solo, dal sito in questione è letteralmente sparita la sezione da cui era possibile scaricare i certificati. Via l’intero blocco. Questo significa che nessun utente è stato in grado di scaricare documenti personali. Tradotto: se avevo bisogno di un certificato di negativizzazione, non potevo averlo digitalmente grazie quella piattaforma. D’altra parte, è questa la buona prassi quando ci si accorge di attacchi hacker o pericolosi “bug” (falle): staccare la spina, risolvere e riaccendere. È quanto stato fatto dall’Usl 6 lo scorso 3 dicembre, in occasione dell’attacco hacker, tanto che i sistemi sono andati in tilt e molti servizi sono rimastibloccati per settimane.
DALLA REGIONE Ieri un commento alla vicenda è stato chiesto a Manuela Lanzarin, assessore regionale alla Sanità. Va ricordato che i dati resi accessibili per i già citati errori di programmazione erano tutti di matrice sanitaria. «Su questo argomento risponderà la direzione che ha gli elementi necessari», è stata la risposta dell’assessore veneto. La direzione sanitaria della Regione era peraltro già stata responsabilmente avvisata del “bug” alla vigilia della pubblicazione del servizio giornalistico. Questo sia per dare il tempo di mettere in sicurezza il sistema, sia per avere un eventuale risposta sulla problematica. La direzione, nella persona del direttore generale Luciano Flor, non ha tuttavia ritenuto opportuno rispondere, sia ieri che sabato. La gravità del problema venuta a galla con il nostro servizio, tuttavia, è stata chiaramente ravvisata dalla Regione, che ieri ha messo al lavoro i tecnici per tappare almeno parzialmente la grave falla.
Il Mattino di Padova
