Il portale degli acquisti della pubblica amministrazione, quello che dovrebbe salvare la patria dagli sprechi, fino a poche ore fa era "facilmente" accessibile a chiunque. In pratica tutti i dati correlati ai bandi della PA potevano essere consultati senza colpo ferire.

La scoperta si deve al webmaster Fabrizio Vassallo, che ha deciso di svelare ogni dettaglio a Il Fatto Quotidiano. Tom's Hardware ha controllato i fatti e avuto conferma, da fonti qualificate, che almeno fino a qualche ora fa il portale era effettivamente vulnerabile. La diffusione della notizia sui media però ha già fatto scattare le contromosse della PA.

Quindi vi racconteremo di un sistema che non funziona più da qualche ora. In pratica Vassallo ha scoperto che un qualsiasi informatico con un minimo di competenza di siti web poteva usare lo strumento di ricerca del portale per visualizzare ogni contenuto pubblicato. Consip (Concessionaria Servizi Informativi Pubblici) si affida ad Apache Solr, una sorta di Google open source specializzato nell'indicizzazione dei dati (documenti, pagine html, etc.) estratti da un database o altro archivio. Il problema è che la pagina da amministratore (admin) sul sito era totalmente libera.

Acquisti in rete PA

Bastava digitare l'URL www.Acquistiinretepa.it/solr per ritrovarsi di fronte una pagina che con le query corrette poteva fornire qualsiasi dato desiderato contenuto nel portale. Ovviamente per muoversi in questo ambito è evidente che qualche competenza minima bisogna averla. Anche l'interrogazione del database non è una passeggiata.

D'altronde stiamo parlando di un database e il suo "motore" di interrogazione, non di interfacce. "La questione dell'accesso ai dati è forse più complessa: Solr indicizza i dati provenienti da varie fonti, ovvero costruisce il suo complicatissimo indice a partire da ciò che legge in un documento e costruisce un link tra questi dati e il documento stesso (id in un database o path in un filesystem)", spiega la nostra fonte. "Cosicché una query Solr restituisce velocemente il link al documento che contiene le keyword cercate"

Secondo Vassallo un webmaster avrebbe potuto anche gestire credenziali, modificare impostazioni, modificare lo stesso sito, eccetera. "Per quanto protette potessero essere le pagine, se io riesco ad accedere a questo pannello di controllo posso comunque prendermi dati che voglio. Anzi grazie all’accesso diretto al database posso cercare i dati scegliendo pure che cosa voglio vedere. Come un vero e proprio motore di ricerca. Tutto lecito: solo che nessuno, tranne i gestori del portale, dovrebbero poterlo fare", ha spiegato Vassallo.

Fortunatamente i tecnici della Pubblica Amministrazione hanno già bloccato l'accesso a questa pagina web, ma adesso bisognerebbe capire se vi siano state azioni di spionaggio nel tempo. Pirati smaliziati avrebbero potuto visionare dati sensibili delle aziende partecipanti ai bandi, documenti di identità e conti correnti.

"Il problema consiste nel fatto che queste informazioni non dovrebbero essere pubbliche, non basta quindi usare un indirizzo complesso per arrivare ad esse, specialmente certi sistemi come questo, utilizzano un id, un indice, che identifica il tipo di informazione, a quel punto basta cambiarlo e vedere cosa c’è dopo", prosegue il webmaster.

Quale soluzione quindi? Un valido sistema di autenticazione e l'applicazione delle più semplici (nonché di buon senso) regole per la sicurezza online. Se poi chiedete a un dipendente della PA, vi dirà che gli piacerebbe anche un portale più efficiente, dove magari esista una sola categoria dove cercare uno smartphone.