I dati sensibili di centinaia di migliaia di cittadini iscritti al sito per l'adesione vaccinale lasciati incustoditi. Numeri di telefono, indirizzi mail, ma soprattutto la scheda anamnestica, potenzialmente accessibili grazie a un bug un errore presente all'interno del sito di Soresa. Il caso è scoppiato ieri mattina in seguito alla diffusione di un video del professore Matteo Flora, esperto di sicurezza informatica, sul suo canale youtube, ma inviato nei giorni scorsi al garante della privacy e all'entourage del presidente della Regione De Luca. Ma la segnalazione allo stesso Flora, con la richiesta di interessarsi alla vicenda, era partita da un avellinese, Carmine Di Gregorio, che da tre anni si occupa di sicurezza informatica per una multinazionale americana e prima ha lavorato come consulente per la Commissione europea e per la Ibm.
Matteo Flora, docente alla facoltà di Economia dell'Università di Pavia e all'UniBicocca, nella sua rubrica quotidiana «Ciao Internet!» ha così trattato il caso del sito «Adesioni Vaccinazioni».
Sono passaggi non accessibili a chiunque, ma non impossibili. Nella parte visibile del sito www.adesionevaccinazioni.soresa.it il passaggio di sicurezza con la comparazione di codice fiscale e numero di tessera sanitaria regge: ovvero bisognava e bisogna inserire entrambi i dati esatti per entrare nella pagina del singolo utente. L'errore, adesso risolto, era altrove, in questo caso nelle Api (acronimo di Application Programming Interface, ovvero Interfaccia di programmazione delle applicazioni) che permettono la comunicazione tra il sito e il database. Attraverso una chiamata e inserendo il solo codice fiscale era possibile accedere alla scheda della persona.
L'esperimento, portato avanti nella clip video, è con la scheda dello stesso governatore, il cui codice fiscale è facilmente desumibile dai dati anagrafici pubblici. «Ho fatto il bravo cittadino dice Matteo Flora e l'ho segnalato a De Luca, mandandogli un whatsapp, visto che avevo recuperato il suo numero». Per superare la criticità del sito «bastava richiedere anche in questa sezione entrambi i dati, innalzando il livello di sicurezza».
Se la vicenda è stata portata alla ribalta dal video del professore Flora, la sua scoperta si deve a Carmine Di Gregorio, attualmente residente a Bruxelles, raggiunto al telefono. «Una settimana fa ho visto il sito. Ho notato che hanno utilizzato tecnologie nuove ma hanno dimenticato alcune cose», dice l'esperto di informatica, originario di Luogosano, che si è formato all'università di Salerno. «La mancanza della comparazione dei dati di accesso è grave, molti forse non riescono a capirlo. Quello che non ha detto Matteo Flora è che attraverso alcune chiamate era possibile recuperare anche il file con l'anamnesi delle persone. Ci sono gruppi di criminali informatici continua Di Gregorio che sono golosi dei dati sanitari e che potrebbero tranquillamente venderli a compagnie assicurative». L'esperto informatico avellinese non ha approfondito, per il lavoro che svolge, se siano già stati rubati questi dati ma dice: «Non ci voleva uno scienziato per farlo. Ho provato a contattare qualcuno in Regione ma è stato impossibile. Se mi avessero chiamato avrei dato una mano gratis».