Conservare le password di un server su un file in chiaro è una pratica del tutto scomposta, poiché consente ad un eventuale malintenzionato di potervi accedere. Se poi questo file viene pubblicato online e messo a disposizione di chiunque, allora ecco che l’epic fail è servito. Ed è quanto successo alla Regione Veneto.
Regione Veneto, online il file con la password
La scoperta è di Paolo Attivissimo, il quale scrive sul proprio sito di aver cercato i responsabili, ma di non aver ricevuto risposta:
Il documento è stato sostituito il giorno stesso con una nuova versione priva di dati sensibili e oso sperare che anche la password sia stata cambiata, perché il documento originale risaliva al 18 luglio 2012 (il che significa che nel 2012 era valido e a qualcuno pareva sensato mettere online la propria password).
Ma la rimozione di un documento accessibile via web non comporta automaticamente la scomparsa di tutte le copie di quel documento, e in più non posso sapere se la password è ancora valida, perché provarla potrebbe essere considerata una violazione di domicilio informatico. Non ho ricevuto una parola di risposta dal DPO, ma pazienza.
La password è valida? Cosa c’è nel server in questione? Attivissimo non lo spiega, poiché non sarebbe stato prudente:
non posso sapere se la password è ancora valida, perché provarla potrebbe essere considerata una violazione di domicilio informatico.
La segnalazione è comunque stata inviata e la Regione potrà pertanto provvedere alle verifiche del caso.
Un problema isolato, una fatalità, un errore in buona fede? Certo. Ma se problemi similari colpiscono il Touring Club, il Senato e la intranet di Forza Italia (solo per restare sulle ultime segnalazioni stello stesso Attivissimo), allora il problema è forse ben più ampio e grave perché trattasi di problema culturale in tema di sicurezza informatica.
Attivissimo fa notare come il file sia peraltro firmato e basta una breve ricerca per capire che proviene direttamente dall’entourage del team comunicazione della presidenza.