Claudio Tamburrino

Regione Lombardia, il bug del bollo

Dal sito della Regione Ŕ possibile accedere a tutte le ricevute dei pagamenti dei bolli auto corrisposti dai cittadini. Con targhe e codici fiscali

Roma - Il servizio online dedicato al pagamento del bollo auto della Regione Lombardia ha una vulnerabilità facilmente sfruttabile: basta inserire un qualsiasi numero nell'URL generato con propria ricevuta per avere accesso a tutti quelli corrispondenti ai bolli auto, a partire dal numero 1 all'ultimo URL generato.

Il servizio permette di ottenere online la ricevuta del pagamento del bollo auto. E insieme a ciò si può risalire a dati personali come il codice fiscale del contribuente e la targa dell'auto interessata, connessa a potenza, classe euro e descrizione.

Anche se si tratta di dati piuttosto innocui per la privacy, facilmente ottenibili attraverso procedure accessibili a tutti, la vulnerabilità individuata è importante, sia per la semplicità con cui permette di accedere ai dati, sia come segnale dello stato dei servizi online delle pubbliche amministrazioni.
Il bug è stato segnalato su Reddit giovedì 18 dicembre dall'utente Niko12345678, che ha anche provveduto ad avvertire del problema la Regione ed Infogroup, indicata come responsabile della gestione del servizio.

Nonostante la segnalazione da parte degli scopritori, la falla appare ancora irrisolta, tanto che è stato possibile verificarne la persistenza scaricando decine di migliaia di ricevute di pagamento di bollo auto aggiornati al 22 dicembre 2013.

Anche Punto Informatico ha provato a contattare la Regione Lombardia e Infogroup: eventuali aggiornamenti saranno pubblicati su queste pagine.

Claudio Tamburrino
Notizie collegate
  • AttualitàLombardia, promesse ultralargheIn due anni la regione avrÓ completamente azzerato il digital divide. Come giÓ detto l'anno scorso. L'annuncio, stavolta, Ŕ accompagnato da Telecom Italia che si aggiudica il bando di gara relativo
  • AttualitàA NSA piacciono i bug e paga per averliL'intelligence statunitense ha stipulato contratti per avere accesso ai database commerciali delle vulnerabilitÓ nei software informatici. Lo scandalo Datagate continua, tra nuove rivelazioni e reazioni indignate
  • AttualitàLa Lega vorrebbe una regione poco socialUn'interrogazione presentata da un gruppo di consiglieri regionali leghisti vorrebbe il blocco degli accessi ai social network da parte dei dipendenti del Pirellone. Citati anche i rischi derivanti dallo scaricamento illecito
26 Commenti alla Notizia Regione Lombardia, il bug del bollo
Ordina
  • Ciao ragazzi,
    ho provato a scaricare qualche ricevuta dopo aver pagato il bollo della mia auto. La pagina non consente di scaricare nulla, viene visualizzato un messaggio di errore.
    Mi sa che il problema è stato risolto ...
    non+autenticato
  • I cuggggini Piemontesi dei Leghisti Lombardi fanno anche di meglio; per un errore informatico del consorzio Reginale CSI non han pagato gli stipendi.
    http://www.lastampa.it/2013/12/29/cronaca/citt-del...
    non+autenticato
  • - Scritto da: Legati male
    > http://www.lastampa.it/2013/12/29/cronaca/politica
    Tradotto: Cerchiamo lo sfigato di turno sul quale far ricadere la colpa e poi lo lapidiamo in pubblica piazza.
    non+autenticato
  • .. forse perché questi stessi "professionisti" sono riusciti a non correggere un problema ben specifico nel calcolo del mio CF (nazione di nascita mancante nel DB) per ben 6 mesi, nonostante ripetute indicazioni su quale fosse la mancanza? O forse perché una volta connesso al portale tributi circa il 50% delle moto o macchine che ho avuto a me intestate negli anni non erano presenti nel loro DB?

    E scommetto che ci sono costati uno sproposito...Triste
  • Per trasparenza vogliamo sapere:

    1) quanto e' costato alla regione lombardia il servizio web
    2) chi e' la societa' che ha vinto l'appalto
  • quoto in pieno, sembra un servizio fatto dal nipotino che "è bravo con l'ipad"
  • - Scritto da: panda rossa
    > Per trasparenza vogliamo sapere:
    >
    > 1) quanto e' costato alla regione lombardia il
    > servizio
    > web
    > 2) chi e' la societa' che ha vinto l'appalto

    Non te lo diranno mai: in Italia è assolutamente fondamentale che gli incapaci siano sempre ben protetti e premiati.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: panda rossa
    > > Per trasparenza vogliamo sapere:
    > >
    > > 1) quanto e' costato alla regione lombardia il
    > > servizio
    > > web
    > > 2) chi e' la societa' che ha vinto l'appalto
    >
    > Non te lo diranno mai: in Italia è assolutamente
    > fondamentale che gli incapaci siano sempre ben
    > protetti e
    > premiati.


    Intanto il giornalista faccia la domanda.
    E se non arriva la risposta, il giornalista scriva che la regione lombardia non ha risposto alla domanda.

    Anche il sapere che a certe domande non rispondono, e' informazione.
  • - Scritto da: panda rossa
    > - Scritto da: ...
    > > - Scritto da: panda rossa
    > > > Per trasparenza vogliamo sapere:
    > > >
    > > > 1) quanto e' costato alla regione
    > lombardia
    > il
    > > > servizio
    > > > web
    > > > 2) chi e' la societa' che ha vinto
    > l'appalto
    > >
    > > Non te lo diranno mai: in Italia è
    > assolutamente
    > > fondamentale che gli incapaci siano sempre
    > ben
    > > protetti e
    > > premiati.
    >
    >
    > Intanto il giornalista faccia la domanda.
    > E se non arriva la risposta, il giornalista
    > scriva che la regione lombardia non ha risposto
    > alla
    > domanda.
    >
    > Anche il sapere che a certe domande non
    > rispondono, e'
    > informazione.

    Ma chi, il giornalista di PI? Ma ti pare? Quelli di PI hanno paura di denunce pure a fare domande per chiedere indicazioni stradali se si sono persi.
    non+autenticato
  • - Scritto da: ...

    >
    > Ma chi, il giornalista di PI? Ma ti pare? Quelli
    > di PI hanno paura di denunce pure a fare domande
    > per chiedere indicazioni stradali se si sono
    > persi.


    Hai mai preso una denuncia? Guarda che non è piacevole sai?!
    non+autenticato
  • - Scritto da: Nome e cognome

    > Guarda che non è piacevole sai?!

    La gente non può denunciare qualcuno per aver detto la verità su una cosa non coperta da alcun segreto militare. Poi certo, se siamo in Italia dove anche il primo pirla si mette a minacciare di denunciare per ogni cacata...
    non+autenticato
  • - Scritto da: prot
    > - Scritto da: Nome e cognome
    >
    > > Guarda che non è piacevole sai?!
    >
    > La gente non può denunciare qualcuno per aver
    > detto la verità su una cosa non coperta da alcun
    > segreto militare. Poi certo, se siamo in Italia
    > dove anche il primo pirla si mette a minacciare
    > di denunciare per ogni
    > cacata...
    Se dici la verità vieni denunciato per calunnia e diffamazione.
  • La calunnia presuppone l'innocenza del calunniato a quanto affermato dal calunniatore.
    non+autenticato
  • - Scritto da: devnull
    > La calunnia presuppone l'innocenza del calunniato
    > a quanto affermato dal
    > calunniatore.

    Lo vedrai dopo 6 anni di parcella dell'avvocato.
  • - Scritto da: Nome e cognome
    > - Scritto da: ...
    >
    > >
    > > Ma chi, il giornalista di PI? Ma ti pare? Quelli
    > > di PI hanno paura di denunce pure a fare domande
    > > per chiedere indicazioni stradali se si sono
    > > persi.
    >
    >
    > Hai mai preso una denuncia? Guarda che non è
    > piacevole
    > sai?!

    se hai paura delle denunce non fai il giornalista, esattamente come se hai paura del fuoco non fai il pompiere
    non+autenticato
  • Prevedo che qualche stagista dovrà trovarsi un nuovo impiego, e un'altro (o magari lo stesso) si troverà a brindare alle feste in ufficio.

    Ma come si fa a mettere online un servizio così? Bastava un banale controllo di sessione, o anche solo usare un'hash invece che l'ID.
    non+autenticato
  • - Scritto da: devnull
    > Prevedo che qualche stagista dovrà trovarsi un
    > nuovo impiego, e un'altro (o magari lo stesso) si
    > troverà a brindare alle feste in
    > ufficio.
    :)

    > Ma come si fa a mettere online un servizio così?
    > Bastava un banale controllo di sessione,
    yes
    > o anche solo usare un'hash invece che
    > l'ID.
    mhh se la "sessione" e' un numero progressivo, non e' che ti ci voglia molto A TE a calcolare hash(num) e a usare quello. (si certo dipende cosa usi come formula di hashing... se l'hai inventata ieri..)

    Cmq la cosa piu curiosa e' che per i PDF usano un sw (mozilla/gpl license) del 2007! ma usarne una ver piu nuova (magari pagandola.. visto che lo fa una societa') ?
    non+autenticato
  • No beh, in effetti intendevo una stringa casuale piuttosto che un'hash, passata dal server nell'URL dopo l'acquisto e con abbastanza byte da rendere estremamente improbabile indovinarne uno esistente.
    non+autenticato
  • - Scritto da: devnull
    > No beh, in effetti intendevo una stringa casuale
    > piuttosto che un'hash, passata dal server
    > nell'URL dopo l'acquisto e con abbastanza byte da
    > rendere estremamente improbabile indovinarne uno
    > esistente.

    E' arrivato lo scopritore dell'acqua calda.
    non+autenticato