
Il sito Milano COR di ATS Città Metropolitana di Milano, risulta avere potenzialmente esposto i dati degli utenti positivi al COVID-19. In che modo? Per un errore di progettazione del sito, ora fortunatamente corretto.
Il sistema era stato annunciato con entusiasmo, con già 3.433 milanesi registrati al 25 ottobre. Il sito era stato creato per consentire alle persone risultate positive al tampone di accedere all’esito dell’esame, ricevere assistenza ed informazioni, nonché compilare il proprio diario clinico in tempo reale con l’inserimento dei sintomi, prenotare tamponi ed inserire i dati di persone conviventi (i cc.dd. “contatti stretti”) nei confronti dei quali viene esteso l’obbligo di quarantena.
L’accesso al sistema avveniva in caso di accertata positività al COVID-19, per cui veniva inviato sul numero di telefono già associato all’interessato un SMS per procedere alla registrazione al sito. E fin qui, tutto regolare e senza particolari criticità di data protection.
Matteo Flora di The Fool ha pubblicamente denunciato la grave falla di sicurezza del database, il quale è risultato, fino alla correzione, esposto ad attacchi di tipo side-channel. Nella maschera di login del sistema veniva infatti richiesto, come primo passo, di inserire codice fiscale e numero di telefono per procedere poi alla prima registrazione o, in caso di utente registrato, ad un’autenticazione successiva con e-mail e password.
In caso l’utente fosse risultato già registrato, il sistema di login restituiva la risposta: “Utente già registrato, procedere con il normale login”. In questo modo era possibile dedurre piuttosto facilmente che la persona cui facevano riferimento codice fiscale e numero di telefono (dati tutt’altro che difficili da reperire) era (o era stata) positiva al COVID-19.
Cosa comportava questa vulnerabilità? Certo, non l’accesso al diario clinico, ma era possibile capire, indirettamente, un dato sanitario la cui perdita di riservatezza è idonea a comportare un impatto piuttosto rilevante nei confronti dell’interessato.
Sembra uno schema tristemente ricorrente per il nostro Paese. Molto entusiasmo per una nuova tecnologia, poca attenzione per la progettazione tanto in termini di sicurezza delle informazioni e quanto in materia di protezione dei dati personali.
L’intervento dell’Autorità Garante per la protezione dei dati personali ora saprà approfondire con istruttoria l’accaduto andando ad analizzare, ad esempio, la valutazione d’impatto relativa al nuovo sistema, nonché le conseguenze effettive subite dagli interessati e le eventuali responsabilità ascrivibili.
Agli interessati, però, più che vedere rimedi (fra cui si includono anche sanzioni e risarcimenti) successivi interessa molto più un approccio responsabile preventivo, che tenga conto sin dalla fase di progettazione tanto di quegli aspetti di legal design che di risk-based-approach nella sicurezza richiesti dal GDPR.