Vulnerabilità sul sito Referendum Cannabis, mette a rischio privacy dei sottoscrittori

··1 min lettura
Dario Fadda

ATTENZIONE: post sottoposto ad aggiornamenti. Tutti gli Updates in fondo alla pagina.

Sembrerebbe ci sia un malfunzionamento del sito che gestisce le sottoscrizioni elettroniche per il referendum, lanciato pochi giorni fa, al fine di raccogliere online le firme necessarie alla trattazione di un referendum a livello nazionale per la legalizzazione della Cannabis in Italia.

Scoperto da un utente, Carmine di Gregorio, il problema è abbastanza rilevante per la privacy dei cittadini che hanno scelto di sottoscriverlo tramite questa modalità.

Come funziona?

In base alla scoperta fatta dall’utente, chiunque sarebbe in grado di lanciare una query GET al server che gestisce i dati della raccolta firme sotto forma di API, solamente conoscendo l’indirizzo e-mail di un firmatario. Per via di questa vulnerabilità il server risponderebbe con un risultato che lascia senza parole: molti dettagli di questo/a cittadino/a che ha sottoscritto la raccolta firme tra cui, Codice Fiscale, Nome, Cognome, Provincia, Comune, Regione, dettagli sullo SPID utilizzato, data di nascita

Il tutto è ricavabile con una “semplice” (per chi la conosce, scoprirla non è una cosa semplice per niente, onore all’utente!) query GET che assuma la forma 

app/api/v1/profile/email/send?email=xxx@xxx.it&codice=CANNABIS&comune=xx&provincia=yy&regione=xx

lanciata sul server che ospita la piattaforma per la sottoscrizione.

Viene da se che tutto ciò è un gran problema. Aggiungo che questa vulnerabilità è stata resa nota oggi, e non ci sono evidenze che possa esser stata sfruttata prima che i responsabili siano corsi al riparo, bloccando anche l’accesso al sito per diverse ore nella giornata, però questo non ne azzera la pericolosità e l’allarme per la privacy di tutti è dietro l’angolo.

Vedi anche

L’utente ha registrato un video esplicativo che riassume quanto esposto, per dimostrare la vulnerabilità, che per comodità inseriamo qui sotto:

Conclusione

Faccio notare che questa raccolta firme ha avuto fin dal momento del lancio uno strepitoso successo, raccogliendo fino al momento della scrittura di questo post più di 450 mila firme, passati appena 4 giorni dall’apertura. Tutto questo successo ovviamente non fa altro che aumentare il pericolo per la trattazione dei dati, sopratutto se ci si perde con le più semplici pratiche di buona gestione dei dati.

Updates:

  • La vulnerabilità, testata dopo il 16 settembre 2021 sembra sia stata risolta. Non sono tuttavia presenti comunicati ufficiali dagli organizzatori della piattaforma. https://twitter.com/sonoclaudio/status/1439126883594088449?s=21
Dario Fadda
IT & Security blogger per passione. Nel 2003 ho fondato Spcnet.it. Dal 2006 sono membro attivo del Gulch (Gruppo Utenti Linux Cagliari). Oggi scrivo qui e nella pagina "La Stampa dice" trovate i miei contributi per le testate giornalistiche. Per tutto il resto c'è dariofadda.it che contiene "quasi" tutto di me.
Correlati
Precedente
Perdita di dati di Travis CI rilevata tra il 3 e il 10 settembre
Successivo
Intervista: Luca Nilo Livrieri ci spiega come affrontare le sfide della cyber security

Notizie cybersecurity, malware, ransomware e sicurezza dei dati

Contatti

Per qualsiasi informazione/segnalazione editoriale ci potete contattare da tutti i canali social indicati e via mail a: info@spcnet.it

Canale sicuro per Whistlerblowers