Server di Stato senza sicurezza

Hackerare un sito governativo per dimostrare quanto scarso sia il livello di sicurezza delle infrastrutture informatiche critiche.

È quanto ha deciso di fare Kaputskiy, diciasettenne pirata informatico già noto alle autorità, che qualche giorno fa ha pensato bene di mettere fuori uso Mobilita.gov.it, uno dei siti legati al Dipartimento della Funzione Pubblica che, ironia della sorte, si occupa proprio del programma di digitalizzazione della Pa.

La violazione eseguita, di cui Kaputskiy ha subito pubblicato i dettagli in Rete, è molto semplice, ed è questo che desta le maggiori preoccupazioni tra gli esperti: è accettabile che i firewall di una piattaforma istituzionale possano essere aggirati con una tecnica banale quale Sql Injection?

Ma tant’è. Anzi, a leggere con attenzione il report redatto dal giovane hacker, sembra che l’intero perimetro di sicurezza del sito fosse molto rudimentale e che, addirittura, mancassero i sistemi automatici di rilevazione degli errori. È una fortuna, allora, che l’intento di Kaputskiy non fosse doloso ma soltanto dimostrativo. Anche se, per rimarcare la serietà della mossa compiuta, novemila credenziali di dipendenti registrati sono state comunque trafugate.

D’altra parte, quando l’hacker ha contattato i gestori del sito per avvisarli di quanto avvenuto e invitarli a porre rimedio alle diverse vulnerabilità della piattaforma, non ha ricevuto risposta.

“È come se un ladro non professionista, minorenne, fosse riuscito a introdursi in un palazzo del governo, armato solo di grimaldello, dove ci sono documenti riservati. E non sia scattato nessun allarme anche se il ladro si è messo a gridare per attirare l’attenzione delle guardie” ha commentato Andrea Rigoni, esperto di cyber sicurezza per conto di Intellium Deloitte.

Attualmente Mobilita.gov.it è in manutenzione. Non si sa per quanto. E non si sa con quali esiti.