Roma – Dati personali di aspiranti “tutor”, completi con numeri di telefono, email, residenza e corredati di tutti i dettagli delle attività professionali: questo è quanto il sito del CEPU, celebre istituto di formazione privato, ha inavvertitamente divulgato online nei giorni scorsi.
Su uno dei siti del network di CEPU, cepuonline.it, l’azienda aveva lasciato alcuni curricula inviati da coloro che intendono tentare di essere selezionati per l’attività di Tutor online di CEPU, presso questo indirizzo:
http://www.cepuonline.it/tutor/tutor.htm
Fino a poche ore fa, era sufficiente accedere alla directory principale di questa porzione del sito, www.cepuonline.it/tutor/, per arrivare a dei folder che avrebbero dovuto rimanere privati. Uno di questi folder, www.cepuonline.it/tutor/curriculi/, contiene circa 200 curricula, alcuni dei quali sono completi e dunque contengono informazioni che avrebbero dovuto essere gestite con la riservatezza di cui alla legge sulla privacy.
Ora il buco è stato chiuso dal CEPU che, interpellato da Punto Informatico sull’accaduto, ha ammesso: “dire che abbiamo fatto una figuraccia è il minimo, e vi ringraziamo per averci segnalato il buco che è stato chiuso. Da un primo controllo sembra che una buona parte dei curricula incriminati siano falsi e inseriti dagli utenti dei NewsGroup dove sono circolate le URL galeotte, altri sono di prova e qualcuno vero. A tutte quelle persone che ci hanno seriamente inviato il loro curriculum e che, loro malgrado, questo è stato visibile, noi dobbiamo le nostre più umili scuse”.
CEPU ha tenuto a sottolineare che al momento il sito fallato, cepuonline.it, è per il momento un sito “non pienamente operativo verso gli utenti” e viene sostanzialmente utilizzato come strumento di comunicazione principalmente interni, per prove e test. “E’ praticamente un cantiere – hanno spiegato i webmaster CEPU – affollato da più operatori e questo crea problemi di controllo. Abbiamo organizzato alcuni servizi di amministrazione: questi ultimi, nonostante più di un tentativo di attacco registrato, non sono mai stati scalfiti. Per cui da mesi gli accessi sono, quasi esclusivamente i nostri”.
La directory contenente i file esposti viene dunque descritta come una directory sulla quale da tempo non si lavorava e che non avrebbe dovuto contenere alcunché. “Il guaio – ha spiegato il CEPU – è stato che la prevista cancellazione del contenuto della directory dei curriculum non è avvenuta nei tempi dovuti e ciò ha reso vulnerabili questi file”.
Non è chiaro per quanto tempo sia stato possibile accedere a quei dati. Quel che è certo è che si parlava della cosa da almeno un paio di giorni sui newsgroup, in particolare it.lavoro.informatica, e che da mercoledì sono iniziate ad arrivare le prime segnalazioni a Punto Informatico.