Il servizio online dedicato al pagamento del bollo auto della Regione Lombardia ha una vulnerabilità facilmente sfruttabile: basta inserire un qualsiasi numero nell’URL generato con propria ricevuta per avere accesso a tutti quelli corrispondenti ai bolli auto, a partire dal numero 1 all’ultimo URL generato.
Il servizio permette di ottenere online la ricevuta del pagamento del bollo auto. E insieme a ciò si può risalire a dati personali come il codice fiscale del contribuente e la targa dell’auto interessata, connessa a potenza, classe euro e descrizione.
Anche se si tratta di dati piuttosto innocui per la privacy , facilmente ottenibili attraverso procedure accessibili a tutti, la vulnerabilità individuata è importante, sia per la semplicità con cui permette di accedere ai dati, sia come segnale dello stato dei servizi online delle pubbliche amministrazioni.
Il bug è stato segnalato su Reddit giovedì 18 dicembre dall’utente Niko12345678 , che ha anche provveduto ad avvertire del problema la Regione ed Infogroup, indicata come responsabile della gestione del servizio.
Nonostante la segnalazione da parte degli scopritori, la falla appare ancora irrisolta, tanto che è stato possibile verificarne la persistenza scaricando decine di migliaia di ricevute di pagamento di bollo auto aggiornati al 22 dicembre 2013.
Anche Punto Informatico ha provato a contattare la Regione Lombardia e Infogroup: eventuali aggiornamenti saranno pubblicati su queste pagine.
Claudio Tamburrino