In Evidenza ENISiriaUSA
ATTUALITÀCoronavirusGlitchGoverno DraghiRoberto SperanzaSanitàSicurezza informatica

Il pasticcio del ministero della Salute: nel portale di monitoraggio sul Covid chiunque poteva mettere dati non verificati

13 Aprile 2022 - 12:29 Valerio Berra
In una circolare pubblicata l'8 aprile, il Ministero della Salute annunciava una nuova piattaforma per inserire i dati giornalieri sul Covid, dopo la fine dell'emergenza. Una piattaforma a cui però era molto facile accedere per qualsiasi utente. Poi è arrivato lo stop

Per qualche giorno, chiunque in Italia avrebbe potuto alterare i dati dei bollettini sull’andamento dell’epidemia di Coronavirus che regolano le misure sanitarie del nostro Paese. Poteva decidere di cancellare l’epidemia in Sicilia o creare un picco da migliaia di casi in Val d’Aosta. E tutto perché accedere al portale dove immettere questi dati era diventato parecchio facile. A rendersi conto del bug è stato @tonini_stef, un utente che nel pomeriggio dell’11 aprile ha rilanciato su Twitter una circolare del Ministero della Salute firmata da Giovanni Rezza, direttore della Prevenzione sanitaria al Ministero della Salute, e da Andrea Urbani, direttore della Programmazione sanitaria sempre al Ministero della Salute. Nel documenti veniva specificato che, dopo la fine dell’emergenza e quindi della collaborazione con la Protezione civile il 31 marzo, i dati giornalieri sul Covid, compresi i i ricoveri in ospedale, dovevano essere inseriti dai responsabili non su un sistema informatico interno ma su un form creato attraverso la piattaforma SurveyMonkey, un sito che serve a creare e compilare sondaggi, utilizzato sia dalle aziende per le ricerche di mercato che da singoli utenti per usi meno commerciali.

Il problema era tutto nella sicurezza. Come ricostruito da Wired, per accedere al portale e immettere i dati venivano richieste tre informazioni: Nome e Cognome dell’utente, un indirizzo mail e il numero di telefono del referente regionale per la rilevazione dei dati sul Covid-19. Chiunque, sia in possesso di questi dati, sia attraverso credenziali non verificate, poteva quindi accedere al portale. Diversi utenti che hanno provato ad accedere hanno poi spiegato su Twitter che non era richiesta una password per confermare l’identità e infatti c’è chi si è divertito ad identificarsi coi nomi più diversi, incluso Vladimir Putin. Al momento il portale è stato disattivato e al link indicato nella circolare del Ministero compare una pagina vuota e un messaggio: «Questo link è stato disattivato per motivi tecnici. Contattare l’Ufficio 6 della Direzione Generale della Programmazione Sanitaria del Ministero della salute per avere indicazioni sulle nuove modalità di trasmissione dei dati». La pagina del sondaggio è stata però salvata su Web Archive, la libreria dove è possibile conservare le pagine web anche quando vengono distrutte e dove si nota che il portale è stato attivato il 2 marzo, quindi con il tempo di fare le opportune verifiche in vista del passaggio delle competenze tra Protezione civile e ministero. Potete trovarla a questo indirizzo: https://bit.ly/3KGuu59.

Leggi anche:

Articoli di ATTUALITÀ più letti