Decine di documenti di identità esposti in chiaro dal Ministero delle Infrastrutture e dei Trasporti

Se la pubblica amministrazione operasse con la stessa trasparenza con cui permette l’accesso ai documenti di identità scansionati e ad alta risoluzione di ignari cittadini, potremmo davvero pensare che sia diventata la casa di vetro che sognava Filippo Turati nel lontano 1908.

Il Fatto

Come segnalato da Michele Pinassi sul suo profilo Twitter, ripreso dal blog di Paolo Attivissimo, il Ministero delle Infrastrutture e dei Trasporti, ignorando le tecniche di indicizzazione di Google, ha permesso di ricercare documenti in pdf relativi a liquidazioni di prestazioni professionali, lettere per l’affidamento di incarichi professionali, e ulteriori documenti, tutti corredati dalla scansione ad alta risoluzione del documento di identità dell’interessato.

Come è possibile? Google Dorks. Si tratta di query di ricerca composte da diverse keywords, che vengono immesse in un motore di ricerca per avere dei risultati più specifici.

Ovviamente, attraverso le Dorks è possibile anche risalire alle username e password salvati nei file di log o ad altre informazioni, come l’elenco degli indirizzi e-mail di studenti o operatori del turismo, compiendo vere e proprie operazioni di hacking.

Come fa Google a rintracciare queste informazioni?

Come tutti i motori di ricerca, Google utilizza i crawler per analizzare i contenuti dei siti web e, attraverso specifici algoritmi, li indicizza, a meno che il creatore o il gestore del sito non prenda gli opportuni accorgimenti. Basterebbe inserire un file robots.txt nella directory del sito stesso, che possa permettere di dare delle precise direttive in merito all’utilizzo delle cartelle e dei rispettivi file.

Da qualche tempo, inoltre, è possibile ricercare immagini simili utilizzando la funzione di ricerca per immagini di Google: basta, ad esempio, inserire l’immagine di una carta di identità e Google restituirà tutte le immagini contenenti una carta di identità.

Il Ministero delle Infrastrutture e dei Trasporti non è il solo a esporre i dati personali degli interessati in violazione delle norme sulla privacy, ma certo è indicativo della scarsa attenzione al corretto trattamento dei dati personali e alla sicurezza delle infrastrutture e delle informazioni che molte, troppe pubbliche amministrazioni hanno.

Conclusioni

Recentemente si sono rilevate numerose le violazioni di trattamento dei dati personali da parte delle PA che, si ricorda, sono tenute al pieno rispetto delle disposizioni del GDPR.

Il PNRR è, forse, l’occasione per rafforzare le competenze delle Pubbliche amministrazioni in tema di privacy e sicurezza, formando adeguatamente il personale e programmando le nuove assunzioni in modo che il settore pubblico abbia al suo interno figure in grado di operare nel rispetto dei diritti e delle libertà fondamentali degli interessati e a tutela della riservatezza delle informazioni trattate.

Troppe, ancora oggi, le criticità irrisolte che pervadono le Pubbliche amministrazioni e in un mondo, ormai, digitalizzato appare impensabile.

Master Universitario di 1° livello – I professionisti della digitalizzazione documentale e della privacy

Scopri il corso universitario in e-learning

Il Master intende fornire ai partecipanti una preparazione manageriale, completa e multidisciplinare necessaria ad affrontare e risolvere le sfide poste dalla progressiva digitalizzazione degli enti, sia pubblici che privati anche alla luce delle novità introdotte nel contesto normativo europeo, in particolare si fa riferimento al GDPR (General Data Protection Regulation) – Regolamento UE 679/2016 e al Regolamento eIDAS (electronic IDentification Authentication and Signature) – Regolamento UE n° 910/2014.

SCOPRI

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Decine di documenti di identità esposti in chiaro dal Ministero delle Infrastrutture e dei Trasporti

Il Fatto

Come fa Google a rintracciare queste informazioni?

Conclusioni

Master Universitario di 1° livello – I professionisti della digitalizzazione documentale e della privacy

Scopri il corso universitario in e-learning

I giovedì dell’AI. Intelligenza artificiale e professione forense – Ciclo di seminari

Q&A sulla dematerializzazione, sulla gestione documentale e sull’archivio storico. Presentazione del percorso formativo DECRIT

Lo ho-BIT – Andata e Ritorno

Newsletter

NAVIGA

Lecce

Milano

Roma

Biella

Castellammare di Stabia

Lecco