Keystone
ULTIME NOTIZIE Svizzera
SVIZZERA
6 ore
Il telelavoro rende obsoleto l'abbonamento per i mezzi pubblici
Per molti impiegati il rientro in ufficio sarà parziale. Varrà ancora la pena acquistare un titolo mensile o annuale?
SVIZZERA
8 ore
I giovani non si vaccinano: «È colpa dell'Ufficio federale della sanità»
Critiche piovono all'indirizzo dell'UFSP da parte di alcuni esperti: «La comunicazione versi i giovani va migliorata»
SAN GALLO
12 ore
58enne muore investita da un rimorchio agricolo
Un drammatico e sfortunato incidente ha avuto luogo a Rorschach
SVIZZERA
13 ore
Quasi 3000 casi di effetti indesiderati a causa del vaccino
Si tratta essenzialmente di casi definiti "non seri". Le persone colpite superavano i 60 anni.
FRIBURGO
14 ore
Protesta contro il Black Friday, attivisti condannati
I fatti risalgono al 29 novembre 2020. Gli avvocati intendono fare ricorso
SVIZZERA
14 ore
La Svizzera punta ancora di più sull'energia rinnovabile
Il Consiglio federale adotta il messaggio sulla legge federale per un approvvigionamento elettrico sicuro
SVIZZERA
15 ore
In Svizzera sempre meno contagi: 173 nelle ultime ventiquattro ore
Sono stati effettuati 26'573 test Covid, con un tasso di positività dello 0,7%
SVIZZERA
16 ore
Indennità per altri sei mesi
Il Consiglio federale ha deciso di prorogare fino al 31 dicembre il diritto all'Ipg
SVIZZERA
16 ore
«La Svizzera è il paese più ipocrita del mondo»
L'artista Ai Weiwei è il più noto tra gli oppositori di Pechino. Lo abbiamo intervistato
BERNA
17 ore
Circa 4000 firme contro la privatizzazione dei servizi di pulizia delle FFS
La petizione è stata sostenuta in modo particolare in Ticino
SVIZZERA
17 ore
Meno incidenti a causa del coronavirus: la Suva abbassa i premi 2022
Lo scorso anno sono stati notificati 431'827 infortuni e malattie professionali, in calo del 10% rispetto al 2019
GINEVRA
16.05.2021 - 20:530

La piattaforma per il test del Covid "spiffera" i dati personali: a rischio migliaia di assicurati

La falla è stata identificata a Ginevra, ma tocca potenzialmente tutti i residenti in Svizzera.

La società responsabile: «Sono in corso delle evoluzioni tanto sulla sicurezza quanto sugli aspetti funzionali».

GINEVRA - I dai di tutti gli assicurati svizzeri e non solo di quelli ginevrini potrebbero essere a rischio a causa di una falla di sicurezza di un sistema di prenotazione del test per il Covid-19 molto usato sulle rive del Lemano. Il relativo formulario viene infatti precompilato automaticamente con tutti i dati dell'assicurato semplicemente introducendo il numero di tessera di cassa malati e, mancando ulteriori verifiche o sicurezze, per dei malintenzionati sarebbe teoricamente possibile provare numeri all'infinito rubando i dati di migliaia di persone.

A denunciare la debolezza del sistema di prenotazione dell'M3 Groupe, che collabora con il Canton Ginevra per test e vaccinazioni, è Le Matin Dimanche. Il domenicale svizzero francese ha constatato che la piattaforma della società privata non sembra porre un limite ai tentativi d'inserimento del codice di 20 cifre che identifica ogni assicurato né prevede un test captcha, che permetterebbe d'identificare e bloccare i bot, i programmi sviluppati per tentare l'accesso ai siti e rubare dati. Inserendo, a furia di tentativi, un numero di tessera di cassa malati esistente, si può quindi accedere al numero AVS, all'identità, all'indirizzo e alla data di nascita del relativo assicurato.

«L'esistenza di un "rate limiting" che scatti a una soglia più alta non è stata verificata, ma le buone pratiche raccomanderebbero almeno l'impiego di un captcha dopo cinque o sei tentativi infruttuosi», sottolinea un esperto informatico sentito da Le Matin Dimanche. Il domenicale ha potuto introdurre più di venti codici di fila senza essere bloccato. «La raccolta manuale o semiautomatica dei dati personali a partire da numeri di tessera di assicurato "inventati" permetterebbe probabilmente il recupero di alcune migliaia di dossier in qualche ora» continua la fonte. «La fattibilità tecnica di uno sfruttamento su larga scala non può essere esclusa», mette in guardia.

Scettico sul livello di sicurezza anche il matematico Paul-Olivier Dehaye, belga di stanza a Ginevra che portò alla luce lo scandalo Cambridge Analytica. «È importante ricordare che, senza M3, la situazione sarebbe molto più complicata a Ginevra», premette il 40enne. «Tuttavia, se il Cantone delega delle competenze a delle entità private, bisogna che si assicuri che lo facciano seguendo gli stessi standard di sicurezza dei dati», sottolinea. Un audit di sicurezza, fa notare, avrebbe subito evidenziato la falla. Il formulario avrebbe potuto essere protetto con una limitazione dei tentativi o una doppia verifica, per esempio la richiesta della data di nascita dell'assicurato.

Le autorità fanno sapere dal canto loro di essersi attivate. «In seguito alla notifica abbiamo contattato l'operatore e sottolineato la sua responsabilità di rispettare sempre le disposizioni legali di protezione dei dati durante il trattamento di dati personali», fa sapere a Le Matin Dimanche una portavoce dell'Incaricato federale della protezione dei dati e della trasparenza, già sollecitato sul tema da un cittadino. «Gli abbiamo ricordato che i dati personali devono essere protetti con misure tecniche e organizzative adeguate contro ogni trattamento illegale, per esempio un accesso indebito». 

M3, che assicura di prendere «molto sul serio la protezione dei dati personali, rende noto che il sito dovrebbe essere modificato. «È stato effettuato un test di penetrazione da parte di un'azienda esterna», fa sapere la società tramite un portavoce. «Nel quadro di un ciclo di miglioramento continuo, sono in corso delle evoluzioni tanto sulla sicurezza quanto sugli aspetti funzionali», aggiunge. 

Il rischio di furto dei dati attraverso ripetuti tentativi d'inserire un numero di assicurato valido è giudicato comunque «estremamente minimo» dalla società. La possibilità d'introdurre un captcha era stata valutata, ma si è deciso infine di limitare il numero di tentativi possibili in un determinato lasso di tempo.

Potrebbe interessarti anche

YouTube

Facebook

Instagram

Linkedin

Twitter

TikTok


Copyright © 1997-2021 TicinOnline SA - Tutti i diritti riservati
IMPRESSUM - DISCLAIMER - SEGNALACI - COMPANY PAGES
Disposizioni sulla protezione dei dati  -   Cookie e pubblicità online  -   Diritto all'oblio


Ultimo aggiornamento: 2021-06-19 04:53:27 | 91.208.130.89