Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Una URL di un portale delle USL venete permette l’accesso ai dati sensibili dei pazienti.

Redazione RHC : 7 Febbraio 2022 11:33

L’attacco alla ULSS6 è stato devastante. Questo lo abbiamo visto giorno dopo giorno su queste pagine, attraverso la nostra Timeline, il quale è culminato con la pubblicazione di informazioni sanitarie sensibili da parte della cybergang LockBit 2.0 il 15 gennaio scorso.

Ma la cosa più inquietante di questo incidente, è che non si è ancora saputo nulla di ufficiale a riguardo relativamente a cosa sia successo. Ma in questo specifico caso, non si tratta di una azienda privata, ma di una unità sanitaria locale italiana finanziata dai soldi pubblici.

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Nel mentre, Il Mattino di Padova e ViPiù, una rivista di approfondimento del veneto, hanno riportato che:

“Basta variare un url in chiaro e si possono ottenere certificati di negativizzazione e comunicazioni di sorveglianza sanitari. Le schermate di errore forniscono elementi utili per rendere il sistema aziendale facilmente accessibile da chi è esperto di linguaggio digitale”

A quanto pare, è stata scoperta una ulteriore falla dove risulta possibile, modificando i dati di una URL (i parametri sono “Codice paziente” e “Codice Episodio”), accedere ai dati di altri pazienti in quella che è conosciuta come vulnerabilità di “Broken Access Control”, una tipica falla che affligge le web application, classificata al primo posto nelle nuove TOP10 Owasp.

Ricordiamo che il “broken Access Control”, è un bug di sicurezza che affligge le web application, che risulta difficile rilevare da uno strumento automatico di scansione, ma occorrono delle attività di penetration test per assicurarsi che non siano presenti.

Questo potrebbe star a significare che le attività di pentest non vengono svolte sui siti delle ULSS della regione veneto, oltre al fatto che le attività di ripristino in corso all’interno delle infrastrutture informatiche non stiano andando come previsto.

Maria Teresa Turetta, segretaria nazionale CUB Veneto a riportato:

“Ennesima falla nel sistema informatico delle Ulss venete: Zaia spieghi a chi sono affidati i dati sensibili dei cittadini. La tolleranza da parte dei cittadini è finita!”

Ed aggiunge in relazione alle dichiarazioni del Mattino di Padova:

“Le recenti rivelazioni dei media regionali, ultima in ordine di tempo quella de Il Mattino di Padova, ci lasciano basiti. L’attacco hacker che ha interessato tutte le Ulss venete è stato devastante. Il fatto che possano essere carpiti da chiunque dati sanitari dei cittadini, a partire dai dati relativi alle negativizzazioni dal virus sars Cov-2, è inquietante, soprattutto in relazione alle avvisaglie di cui la stampa regionale aveva parlato nei mesi scorsi. Stiamo parlando di dati sensibilissimi che dovrebbero essere particolarmente tutelati dai servizi informatici pagati dalla Regione Veneto con i soldi dei cittadini.

E poi riporta il tema sugli appalti pubblici e su chi in effetti abbia progettato e gestito le infrastrutture informatiche delle ULSS venete:


Maria Teresa Turetta (Cub Vicenza e segretario nazionale pubblico impiego)

Già…ma a chi sono stati appaltati i servizi informatici delle ulss venete? Quanti soldi pubblici vengono spesi per ottenere questi risultati? I responsabili politici e amministrativi di tali scelte saranno cacciati a calci nel culo da Zaia? Le eterne minoranze in consiglio regionale hanno intenzione di denunciare qualcuno?”

Inoltre ha riportato:

“a chi sono affidati dati sensibili cittadini? Tolleranza finita!”

“Qui è in gioco la credibilità delle istituzioni sanitarie venete, in primis del governatore Luca Zaia che ha l’obbligo di trovare il responsabile di questa ennesima e gravissima falla gestionale. Ai cittadini i cui dati sensibili sono resi pubblici: non li lasceremo soli, in mancanza di riscontri credibili dalla Giunta veneta torneremo presto a farci sentire su questo argomento.”

Ne avevamo parlato di recente, nell’articolo sul perché l’Italia è il terzo paese più colpito dal Ransomware, e abbiamo parlato della mancanza delle “lesson learned”, e del perché nessuno vuole mettere in piazza le proprie colpe.

“La sicurezza informatica è condivisione, collaborazione, rete e divulgazione. Quattro cose che in Italia non vengono fatte, anche perché, siamo un paese nel quale si punta ad apparire come singoli e non come comunità. Questo ci dovrebbe far riflettere se tale approccio ci porti davvero ad elevarci e a reagire a questa crisi e raggiungere gli obiettivi sperati.”

Sarebbe arrivato il momento che si cominci a parlare di più degli incidenti di sicurezza informatica e del perché siano avvenuti e cosa si sta facendo per evitare che non avvengano più.

Questo magari nell’immediato non ci porterà un beneficio, ma porterà un beneficio alla collettività e nel caso specifico, visto che le infrastrutture della sanità sono pagate dai cittadini, la sanità ha l’obbligo di effettuare delle analisi e di condividerle con tutti, pazienti, cittadini e soprattutto elettori.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Gli hacker criminali di Nova rivendicano un attacco informatico al Comune di Pisa

La banda di criminali informatici di NOVA rivendica all’interno del proprio Data Leak Site (DLS) un attacco informatico al Comune di Pisa. Disclaimer: Questo rapporto include screenshot e/o tes...

Attacco informatico all’Università Roma Tre: intervengono ACN e Polizia Postale

Un grave attacco informatico ha colpito l’infrastruttura digitale dell’Università nella notte tra l’8 e il 9 maggio, causando l’interruzione improvvisa dei servizi onl...

Sei Davvero Umano? Shock su Reddit: migliaia di utenti hanno discusso con dei bot senza saperlo

Per anni, Reddit è rimasto uno dei pochi angoli di Internet in cui era possibile discutere in tutta sicurezza di qualsiasi argomento, dai videogiochi alle criptovalute, dalla politica alle teorie...

GPU sotto sorveglianza! l’America vuole sapere dove finiscono le sue GPU e soprattutto se sono in Cina

Le autorità statunitensi continuano a cercare soluzioni per fermare la fuga di chip avanzati verso la Cina, nonostante le rigide restrizioni all’esportazione in vigore. Il senatore Tom Cot...

Qilin domina le classifiche del Ransomware! 72 vittime solo nel mese di aprile 2025!

Il gruppo Qilin, da noi intervistato qualche tempo fa, è in cima alla lista degli operatori di ransomware più attivi nell’aprile 2025, pubblicando i dettagli di 72 vittime sul suo sit...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006