Regione Lombardia, il bug del bollo
Dal sito della Regione è possibile accedere a
tutte le ricevute dei pagamenti dei bolli auto corrisposti dai
cittadini. Con targhe e codici fiscali.
Il servizio online
dedicato al pagamento del bollo auto della Regione Lombardia ha una
vulnerabilità facilmente sfruttabile: basta inserire un qualsiasi numero
nell'URL generato con propria ricevuta per avere accesso a tutti quelli
corrispondenti ai bolli auto, a partire dal numero 1 all'ultimo URL
generato.
Il servizio permette di ottenere online la ricevuta del pagamento del bollo auto. E insieme a ciò si può risalire a dati personali come il codice fiscale del contribuente e la targa dell'auto interessata, connessa a potenza, classe euro e descrizione.
Anche se si tratta di dati piuttosto innocui per la privacy, facilmente ottenibili attraverso procedure accessibili a tutti, la vulnerabilità individuata è importante, sia per la semplicità con cui permette di accedere ai dati, sia come segnale dello stato dei servizi online delle pubbliche amministrazioni.Il bug è stato segnalato su Reddit giovedì 18 dicembre dall'utente Niko12345678, che ha anche provveduto ad avvertire del problema la Regione ed Infogroup, indicata come responsabile della gestione del servizio.
Nonostante la segnalazione da parte degli scopritori, la falla appare ancora irrisolta, tanto che è stato possibile verificarne la persistenza scaricando decine di migliaia di ricevute di pagamento di bollo auto aggiornati al 22 dicembre 2013.
Il servizio permette di ottenere online la ricevuta del pagamento del bollo auto. E insieme a ciò si può risalire a dati personali come il codice fiscale del contribuente e la targa dell'auto interessata, connessa a potenza, classe euro e descrizione.
Anche se si tratta di dati piuttosto innocui per la privacy, facilmente ottenibili attraverso procedure accessibili a tutti, la vulnerabilità individuata è importante, sia per la semplicità con cui permette di accedere ai dati, sia come segnale dello stato dei servizi online delle pubbliche amministrazioni.Il bug è stato segnalato su Reddit giovedì 18 dicembre dall'utente Niko12345678, che ha anche provveduto ad avvertire del problema la Regione ed Infogroup, indicata come responsabile della gestione del servizio.
Nonostante la segnalazione da parte degli scopritori, la falla appare ancora irrisolta, tanto che è stato possibile verificarne la persistenza scaricando decine di migliaia di ricevute di pagamento di bollo auto aggiornati al 22 dicembre 2013.
punto-informatico.it
Commenti
Posta un commento