Una URL di un portale delle USL venete permette l’accesso ai dati sensibili dei pazienti.

L’attacco alla ULSS6 è stato devastante. Questo lo abbiamo visto giorno dopo giorno su queste pagine, attraverso la nostra Timeline, il quale è culminato con la pubblicazione di informazioni sanitarie sensibili da parte della cybergang LockBit 2.0 il 15 gennaio scorso.

Ma la cosa più inquietante di questo incidente, è che non si è ancora saputo nulla di ufficiale a riguardo relativamente a cosa sia successo. Ma in questo specifico caso, non si tratta di una azienda privata, ma di una unità sanitaria locale italiana finanziata dai soldi pubblici.

Nel mentre, Il Mattino di Padova e ViPiù, una rivista di approfondimento del veneto, hanno riportato che:

“Basta variare un url in chiaro e si possono ottenere certificati di negativizzazione e comunicazioni di sorveglianza sanitari. Le schermate di errore forniscono elementi utili per rendere il sistema aziendale facilmente accessibile da chi è esperto di linguaggio digitale”

A quanto pare, è stata scoperta una ulteriore falla dove risulta possibile, modificando i dati di una URL (i parametri sono “Codice paziente” e “Codice Episodio”), accedere ai dati di altri pazienti in quella che è conosciuta come vulnerabilità di “Broken Access Control”, una tipica falla che affligge le web application, classificata al primo posto nelle nuove TOP10 Owasp.

Ricordiamo che il “broken Access Control”, è un bug di sicurezza che affligge le web application, che risulta difficile rilevare da uno strumento automatico di scansione, ma occorrono delle attività di penetration test per assicurarsi che non siano presenti.

Questo potrebbe star a significare che le attività di pentest non vengono svolte sui siti delle ULSS della regione veneto, oltre al fatto che le attività di ripristino in corso all’interno delle infrastrutture informatiche non stiano andando come previsto.

Maria Teresa Turetta, segretaria nazionale CUB Veneto a riportato:

“Ennesima falla nel sistema informatico delle Ulss venete: Zaia spieghi a chi sono affidati i dati sensibili dei cittadini. La tolleranza da parte dei cittadini è finita!”

Ed aggiunge in relazione alle dichiarazioni del Mattino di Padova:

“Le recenti rivelazioni dei media regionali, ultima in ordine di tempo quella de Il Mattino di Padova, ci lasciano basiti. L’attacco hacker che ha interessato tutte le Ulss venete è stato devastante. Il fatto che possano essere carpiti da chiunque dati sanitari dei cittadini, a partire dai dati relativi alle negativizzazioni dal virus sars Cov-2, è inquietante, soprattutto in relazione alle avvisaglie di cui la stampa regionale aveva parlato nei mesi scorsi. Stiamo parlando di dati sensibilissimi che dovrebbero essere particolarmente tutelati dai servizi informatici pagati dalla Regione Veneto con i soldi dei cittadini.

E poi riporta il tema sugli appalti pubblici e su chi in effetti abbia progettato e gestito le infrastrutture informatiche delle ULSS venete:

Maria Teresa Turetta (Cub Vicenza e segretario nazionale pubblico impiego)

Già…ma a chi sono stati appaltati i servizi informatici delle ulss venete? Quanti soldi pubblici vengono spesi per ottenere questi risultati? I responsabili politici e amministrativi di tali scelte saranno cacciati a calci nel culo da Zaia? Le eterne minoranze in consiglio regionale hanno intenzione di denunciare qualcuno?”

Inoltre ha riportato:

“a chi sono affidati dati sensibili cittadini? Tolleranza finita!”

“Qui è in gioco la credibilità delle istituzioni sanitarie venete, in primis del governatore Luca Zaia che ha l’obbligo di trovare il responsabile di questa ennesima e gravissima falla gestionale. Ai cittadini i cui dati sensibili sono resi pubblici: non li lasceremo soli, in mancanza di riscontri credibili dalla Giunta veneta torneremo presto a farci sentire su questo argomento.”

Ne avevamo parlato di recente, nell’articolo sul perché l’Italia è il terzo paese più colpito dal Ransomware, e abbiamo parlato della mancanza delle “lesson learned”, e del perché nessuno vuole mettere in piazza le proprie colpe.

“La sicurezza informatica è condivisione, collaborazione, rete e divulgazione. Quattro cose che in Italia non vengono fatte, anche perché, siamo un paese nel quale si punta ad apparire come singoli e non come comunità. Questo ci dovrebbe far riflettere se tale approccio ci porti davvero ad elevarci e a reagire a questa crisi e raggiungere gli obiettivi sperati.”

Sarebbe arrivato il momento che si cominci a parlare di più degli incidenti di sicurezza informatica e del perché siano avvenuti e cosa si sta facendo per evitare che non avvengano più.

Questo magari nell’immediato non ci porterà un beneficio, ma porterà un beneficio alla collettività e nel caso specifico, visto che le infrastrutture della sanità sono pagate dai cittadini, la sanità ha l’obbligo di effettuare delle analisi e di condividerle con tutti, pazienti, cittadini e soprattutto elettori.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Pietro Melillo

Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

Aree di competenza: Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione