la-repubblica-it-logo
Nuovo sito del Campidoglio, “Così gli hacker rubano l’identità anche a Raggi”

Il sistema informatico è costato 8 milioni ma ecco come può essere facilmente bucato da mani esperte
di ARTURO DI CORINTO per La Repubblica del 11 Marzo, 2018

C’è un buco nel cuore di Roma. No, non si tratta di quello di bilancio ereditato dalle amministrazioni passate, e neppure di quelli che inghiottono macchine e palazzi come alla Balduina. Si tratta di un buco informatico.
A causa di un errore di progettazione nel nuovo sito del comune di Roma, costato 8 milioni di euro, è possibile appropriarsi dell’indirizzo di posta elettronica di chiunque sia registrato presso il portale del comune. Ed è esattamente quello che è successo con l’email privata della sindaca Raggi.

Repubblica ha ricevuto da un hacker etico, Leonardo8088, un documento che illustra come, usando la falla del sistema all’indirizzo di recupero delle password ci si possa spacciare per Virginia Raggi e sostituirsi a lei conoscendo soltanto il suo codice fiscale. Il sistema, pensato per aiutare i soggetti interni ed esterni al comune per richiedere una nuova password, permette infatti di usare le cosiddette “wildcard”, un metacarattere detto anche carattere jolly che, all’interno di una stringa di ricerca consente di completare le informazioni che stiamo cercando, e ricostruire, ad esempio, un indirizzo di posta elettronica, come quello della sindaca.

Tramite una semplice ricerca su Google è infatti possibile reperire il codice fiscale di chiunque e una volta inserito il codice fiscale, ci troviamo di fronte la seconda richiesta, cioè di inserire l’email. È qui che, grazie al bug riscontrato, è possibile utilizzare il carattere jolly, un asterisco che permette di trovare l’indirizzo esatto di posta elettronica associato a quel codice fiscale e, successivamente, tentare di violarlo per operare al posto della persona, in questo caso la sindaca Raggi.

Il problema è che una volta conosciuta l’email di qualcuno si può usarla per un attacco di phishing (le email malevole che ti chiedono di resettare dati personali o ti fanno cliccare su un allegato infetto), per risalire alla password con un attacco di tipo ” vocabolario” cioè con la generazione automatica di tutte le password fatte da nomi di senso compiuto, oppure cercarla nei database online che contengono le credenziali violate negli ultimi anni: se la persona non sa che le sue credenziali sono state rubate è possibile che usi ancora le vecchie password. E risulta che sia il caso di almeno due account di posta di assessori del Campidoglio.

In realtà non è l’unico buco del comune di Roma. Nell’ambito dell’inchiesta di Repubblica sui siti colabrodo della Pubblica Amministrazione sono emerse diverse segnalazioni provenienti da tecnici informatici e ricercatori di cybersecurity. In ottobre era stato segnalato che il sistema dei fornitori del comune, Siproneg, era ” difettoso” e che permetteva di accedere a tutti i suoi dati. Avvisati i responsabili pareva tutto sotto controllo, ma lo stesso Cert nazionale che si occupa delle emergenze informatiche insieme al Cert della Pubblica Amministrazione aveva verificato che il problema segnalato era serio e si era impegnato a comunicarlo ai responsabili. Pochi giorni dopo veniva chiuso. Al contrario di altri database che sono stati segnalati come ” vulnerabili” grazie a una tecnica nota come SQL injection. Usandola, un malintenzionato può modificare dati esistenti, annullare transazioni e ottenere tutti i dati sul sistema, modificarli o eliminarli, fino a prenderne il controllo dei server.

L’ultimo segnalazione in ordine di tempo è però relativa al sistema Marco Aurelio, la piattaforma di formazione dei dipendenti comunali: anche qui è stata segnalata la stessa falla.