Un giornalista di ilfattoquotidiano.it entra nel sistema gestito da Ministero dell'Economia e Consip e scarica documenti interni, offerte di aziende, persino il pdf di una carta d'identità. Nessun hackeraggio, il sito è sostanzialmente privo di protezione anti-intrusione. Una miniera di informazioni a portata di chiunque o quasi. GUARDA IL VIDEO. La replica: "Tutti documenti pubblici"

Il portale degli acquisti della pubblica amministrazione è un colabrodo. Non è un modo di dire: il sito web, creato per la razionalizzazione delle forniture è praticamente accessibile da chiunque anche nelle pagine che dovrebbero essere protette, perché contenenti dati sensibili. Un vero problema per un portale che gestisce offerte e bandi dei vari enti. Il bello è che a entrare nei settori del sito che non dovrebbero essere accessibili non si compie alcun reato: semplicemente dovrebbero essere i gestori del sito a proteggere quelle pagine.

Ilfattoquotidiano.it ha fatto una prova: dopo aver digitato https://www.acquistinretepa.it/, basta aggiungere un’estensione facilmente individuabile da chi capisca di siti web per trovarsi davanti a un pannello. Un qualsiasi webmaster comprende subito che è da lì che si gestiscono le credenziali, che si decide cioè quali utenti possono fare cosa, e quindi modificare tranquillamente le impostazioni. Si può modificare il sito degli acquisti della pubblica amministrazione senza digitare alcuna password, senza essere registrati, senza effettuare alcun login. E lo può fare chiunque, comodamente dal pc di casa sua. Nel video che pubblichiamo, abbiamo oscurato le url utilizzate per non dare indicazioni a eventuali malintenzionati.

Ma non è finita. Con semplici modifiche dell’estensione è possibile aprire una sorta di plancia di comando che non dovrebbe essere pubblica: “Da questa pagina – spiega a ilfattoquotidiano.it il webmaster Fabrizio Vassallo – è possibile controllare alcune parti del sistema, come il database, e soprattutto è possibile eseguire delle query, ovvero delle richieste di lettura dei dati lì contenuti”. Basta conoscere un minimo il linguaggio utilizzato, ed ecco che è possibile acquisire l’intero database del portale, tutto ciò senza violare praticamente nulla.

“Quindi – continua il webmaster – per quanto protette potessero essere le pagine, se io riesco ad accedere a questo pannello di controllo posso comunque prendermi dati che voglio. Anzi grazie all’accesso diretto al database posso cercare i dati scegliendo pure che cosa voglio vedere. Come un vero e proprio motore di ricerca. Tutto lecito: solo che nessuno, tranne i gestori del portale, dovrebbero poterlo fare”.

Il sito è un pozzo senza fondo. Anche i pdf di documenti sensibili sono facilmente accessibili da chiunque. Un esempio? Aggiungendo all’url principale una determinata estensione, ecco che scarichiamo sul nostro pc la raccomandata inviata da una società che si occupa di buoni pasto alla Consip, la centrale acquisti della pubblica amministrazione. Oggetto della raccomandata la comunicazione dei conti correnti intestati alla società vincitrice di bando, e perfino i documenti d’identità degli amministratori dell’azienda. Dati chiaramente sensibili, soprattutto le carte d’identità, che dovrebbero essere protetti in maniera che nessuno violi la privacy dei soggetti interessati.

“Il problema – continua Vassallo – consiste nel fatto che queste informazioni non dovrebbero essere pubbliche , non basta quindi usare un indirizzo complesso per arrivare ad esse, specialmente certi sistemi come questo, utilizzano un id, un indice, che identifica il tipo di informazione, a quel punto basta cambiarlo e vedere cosa c’è dopo”. E infatti basta cambiare il numero finale dell’Url per avere accesso praticamente a qualsiasi cosa: cambiando un solo numero addirittura scarichiamo degli appunti assolutamente privati dei gestori del sito, che ne commentano l’impostazione.

“Io stesso – continua il web master – potrei sviluppare un programmino che scansiona tutti i numeri finali dell’url, da 1 a 10mila e scaricare il contenuto della pagina. Per evitare questo si deve creare un sistema di autenticazione, cosicché anche se scorri tutti gli id, il sistema controlla che tu abbia i privilegi di lettura della pagina”. Un sistema di autenticazione però al momento non c’è. E chiunque può accedere al portale degli acquisti della pubblica amministrazione e acquisire dati personali, ma anche carteggi privati, conti correnti: tutti elementi che hanno a che fare con la spesa pubblica. “È inquietante – conclude il webmaster – il fatto che a un sito della pubblica amministrazione non siano state applicate le regole più basilari per la sicurezza, e siamo messe in bella mostra informazioni sensibili che chiunque con un minimo di preparazione può ottenere e utilizzare per i più svariati scopi”. E nessuno può escludere che ciò non sia già avvenuto.

Twitter: @pipitone87

LA REPLICA DI CONSIP: “SONO TUTTI DOCUMENTI PUBBLICI”

In merito all’articolo riportato sul sito ilfattoquotidiano.it dal titolo “Acquisti pubblica amministrazione, portale colabrodo. Dati sensibili aperti a tutti”, Consip precisa quanto segue. Il “pannello” a cui si riferisce l’articolo non è altro che la pagina iniziale del motore di ricerca interno alla piattaforma, attraverso il quale possono essere raggiunti solo documenti pubblici, senza possibilità di modificare né i dati e neppure il database, ma solo i criteri della ricerca.

I documenti oggetto dell’articolo sono pubblicati sul sistema ed accessibili da un qualsiasi utente (anche non registrato al sistema) attraverso i normali percorsi di consultazione del portale Acquistinretepa.it, che è il canale di accesso a tutte le informazioni destinate a supportare gli utenti nelle loro attività. Inoltre, non sono documenti sensibili: si tratta infatti di documenti necessari alle Amministrazioni per effettuare i pagamenti e per i quali Consip è stata autorizzata dai titolari alla pubblicazione.

Il sistema degli acquisti pubblici garantisce la sicurezza e la legittimità delle gare telematiche e la protezione dei dati “sensibili”.

Gli accessi anomali, come quello verificatosi, sono regolarmente monitorati e – se del caso – segnalati alle Autorità competenti. Consip rassicura dunque le imprese e le pubbliche amministrazioni sulla qualità, efficienza e sicurezza del sistema www.acquistinretepa.it

Prendiamo atto che secondo Consip sia normale poter scaricare dal portale, da qualsiasi utente anche non registrato, “tutte le informazioni destinate a supportare gli utenti nelle loro attività”. È per questo che è perfino scaricabile l’appunto dei vostri tecnici inerente agli aggiustamenti grafici da apportare al sito? È un fatto, poi, che dopo alcune ore dalla pubblicazione del nostro articolo, il portale sia stato modificato: ora per inserirsi nel sistema occorrono Id e password come in qualsiasi altro sito. Segno che quanto da noi denunciato era effettivamente una grossa anomalia (gp)