Cerca e trova immobili

GINEVRALa piattaforma per il test del Covid "spiffera" i dati personali: a rischio migliaia di assicurati

16.05.21 - 20:53
La falla è stata identificata a Ginevra, ma tocca potenzialmente tutti i residenti in Svizzera.
Keystone
La piattaforma per il test del Covid "spiffera" i dati personali: a rischio migliaia di assicurati
La falla è stata identificata a Ginevra, ma tocca potenzialmente tutti i residenti in Svizzera.
La società responsabile: «Sono in corso delle evoluzioni tanto sulla sicurezza quanto sugli aspetti funzionali».

GINEVRA - I dai di tutti gli assicurati svizzeri e non solo di quelli ginevrini potrebbero essere a rischio a causa di una falla di sicurezza di un sistema di prenotazione del test per il Covid-19 molto usato sulle rive del Lemano. Il relativo formulario viene infatti precompilato automaticamente con tutti i dati dell'assicurato semplicemente introducendo il numero di tessera di cassa malati e, mancando ulteriori verifiche o sicurezze, per dei malintenzionati sarebbe teoricamente possibile provare numeri all'infinito rubando i dati di migliaia di persone.

A denunciare la debolezza del sistema di prenotazione dell'M3 Groupe, che collabora con il Canton Ginevra per test e vaccinazioni, è Le Matin Dimanche. Il domenicale svizzero francese ha constatato che la piattaforma della società privata non sembra porre un limite ai tentativi d'inserimento del codice di 20 cifre che identifica ogni assicurato né prevede un test captcha, che permetterebbe d'identificare e bloccare i bot, i programmi sviluppati per tentare l'accesso ai siti e rubare dati. Inserendo, a furia di tentativi, un numero di tessera di cassa malati esistente, si può quindi accedere al numero AVS, all'identità, all'indirizzo e alla data di nascita del relativo assicurato.

«L'esistenza di un "rate limiting" che scatti a una soglia più alta non è stata verificata, ma le buone pratiche raccomanderebbero almeno l'impiego di un captcha dopo cinque o sei tentativi infruttuosi», sottolinea un esperto informatico sentito da Le Matin Dimanche. Il domenicale ha potuto introdurre più di venti codici di fila senza essere bloccato. «La raccolta manuale o semiautomatica dei dati personali a partire da numeri di tessera di assicurato "inventati" permetterebbe probabilmente il recupero di alcune migliaia di dossier in qualche ora» continua la fonte. «La fattibilità tecnica di uno sfruttamento su larga scala non può essere esclusa», mette in guardia.

Scettico sul livello di sicurezza anche il matematico Paul-Olivier Dehaye, belga di stanza a Ginevra che portò alla luce lo scandalo Cambridge Analytica. «È importante ricordare che, senza M3, la situazione sarebbe molto più complicata a Ginevra», premette il 40enne. «Tuttavia, se il Cantone delega delle competenze a delle entità private, bisogna che si assicuri che lo facciano seguendo gli stessi standard di sicurezza dei dati», sottolinea. Un audit di sicurezza, fa notare, avrebbe subito evidenziato la falla. Il formulario avrebbe potuto essere protetto con una limitazione dei tentativi o una doppia verifica, per esempio la richiesta della data di nascita dell'assicurato.

Le autorità fanno sapere dal canto loro di essersi attivate. «In seguito alla notifica abbiamo contattato l'operatore e sottolineato la sua responsabilità di rispettare sempre le disposizioni legali di protezione dei dati durante il trattamento di dati personali», fa sapere a Le Matin Dimanche una portavoce dell'Incaricato federale della protezione dei dati e della trasparenza, già sollecitato sul tema da un cittadino. «Gli abbiamo ricordato che i dati personali devono essere protetti con misure tecniche e organizzative adeguate contro ogni trattamento illegale, per esempio un accesso indebito». 

M3, che assicura di prendere «molto sul serio la protezione dei dati personali, rende noto che il sito dovrebbe essere modificato. «È stato effettuato un test di penetrazione da parte di un'azienda esterna», fa sapere la società tramite un portavoce. «Nel quadro di un ciclo di miglioramento continuo, sono in corso delle evoluzioni tanto sulla sicurezza quanto sugli aspetti funzionali», aggiunge. 

Il rischio di furto dei dati attraverso ripetuti tentativi d'inserire un numero di assicurato valido è giudicato comunque «estremamente minimo» dalla società. La possibilità d'introdurre un captcha era stata valutata, ma si è deciso infine di limitare il numero di tentativi possibili in un determinato lasso di tempo.

Entra nel canale WhatsApp di Ticinonline.
NOTIZIE PIÙ LETTE