Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca
Crowdstrike

Una URL di un portale delle USL venete permette l’accesso ai dati sensibili dei pazienti.

Redazione RHC : 7 Febbraio 2022 11:33

L’attacco alla ULSS6 è stato devastante. Questo lo abbiamo visto giorno dopo giorno su queste pagine, attraverso la nostra Timeline, il quale è culminato con la pubblicazione di informazioni sanitarie sensibili da parte della cybergang LockBit 2.0 il 15 gennaio scorso.

Ma la cosa più inquietante di questo incidente, è che non si è ancora saputo nulla di ufficiale a riguardo relativamente a cosa sia successo. Ma in questo specifico caso, non si tratta di una azienda privata, ma di una unità sanitaria locale italiana finanziata dai soldi pubblici.

Supporta Red Hot Cyber attraverso

Nel mentre, Il Mattino di Padova e ViPiù, una rivista di approfondimento del veneto, hanno riportato che:

“Basta variare un url in chiaro e si possono ottenere certificati di negativizzazione e comunicazioni di sorveglianza sanitari. Le schermate di errore forniscono elementi utili per rendere il sistema aziendale facilmente accessibile da chi è esperto di linguaggio digitale”

A quanto pare, è stata scoperta una ulteriore falla dove risulta possibile, modificando i dati di una URL (i parametri sono “Codice paziente” e “Codice Episodio”), accedere ai dati di altri pazienti in quella che è conosciuta come vulnerabilità di “Broken Access Control”, una tipica falla che affligge le web application, classificata al primo posto nelle nuove TOP10 Owasp.

Ricordiamo che il “broken Access Control”, è un bug di sicurezza che affligge le web application, che risulta difficile rilevare da uno strumento automatico di scansione, ma occorrono delle attività di penetration test per assicurarsi che non siano presenti.

Questo potrebbe star a significare che le attività di pentest non vengono svolte sui siti delle ULSS della regione veneto, oltre al fatto che le attività di ripristino in corso all’interno delle infrastrutture informatiche non stiano andando come previsto.

Maria Teresa Turetta, segretaria nazionale CUB Veneto a riportato:

“Ennesima falla nel sistema informatico delle Ulss venete: Zaia spieghi a chi sono affidati i dati sensibili dei cittadini. La tolleranza da parte dei cittadini è finita!”

Ed aggiunge in relazione alle dichiarazioni del Mattino di Padova:

“Le recenti rivelazioni dei media regionali, ultima in ordine di tempo quella de Il Mattino di Padova, ci lasciano basiti. L’attacco hacker che ha interessato tutte le Ulss venete è stato devastante. Il fatto che possano essere carpiti da chiunque dati sanitari dei cittadini, a partire dai dati relativi alle negativizzazioni dal virus sars Cov-2, è inquietante, soprattutto in relazione alle avvisaglie di cui la stampa regionale aveva parlato nei mesi scorsi. Stiamo parlando di dati sensibilissimi che dovrebbero essere particolarmente tutelati dai servizi informatici pagati dalla Regione Veneto con i soldi dei cittadini.

E poi riporta il tema sugli appalti pubblici e su chi in effetti abbia progettato e gestito le infrastrutture informatiche delle ULSS venete:


Maria Teresa Turetta (Cub Vicenza e segretario nazionale pubblico impiego)

Già…ma a chi sono stati appaltati i servizi informatici delle ulss venete? Quanti soldi pubblici vengono spesi per ottenere questi risultati? I responsabili politici e amministrativi di tali scelte saranno cacciati a calci nel culo da Zaia? Le eterne minoranze in consiglio regionale hanno intenzione di denunciare qualcuno?”

Inoltre ha riportato:

“a chi sono affidati dati sensibili cittadini? Tolleranza finita!”

“Qui è in gioco la credibilità delle istituzioni sanitarie venete, in primis del governatore Luca Zaia che ha l’obbligo di trovare il responsabile di questa ennesima e gravissima falla gestionale. Ai cittadini i cui dati sensibili sono resi pubblici: non li lasceremo soli, in mancanza di riscontri credibili dalla Giunta veneta torneremo presto a farci sentire su questo argomento.”

Ne avevamo parlato di recente, nell’articolo sul perché l’Italia è il terzo paese più colpito dal Ransomware, e abbiamo parlato della mancanza delle “lesson learned”, e del perché nessuno vuole mettere in piazza le proprie colpe.

“La sicurezza informatica è condivisione, collaborazione, rete e divulgazione. Quattro cose che in Italia non vengono fatte, anche perché, siamo un paese nel quale si punta ad apparire come singoli e non come comunità. Questo ci dovrebbe far riflettere se tale approccio ci porti davvero ad elevarci e a reagire a questa crisi e raggiungere gli obiettivi sperati.”

Sarebbe arrivato il momento che si cominci a parlare di più degli incidenti di sicurezza informatica e del perché siano avvenuti e cosa si sta facendo per evitare che non avvengano più.

Questo magari nell’immediato non ci porterà un beneficio, ma porterà un beneficio alla collettività e nel caso specifico, visto che le infrastrutture della sanità sono pagate dai cittadini, la sanità ha l’obbligo di effettuare delle analisi e di condividerle con tutti, pazienti, cittadini e soprattutto elettori.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Categorie
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009