GENI DELL'INFORMATICA

Asl Teramo, i referti non superano la prova privacy: «visibili a tutti»

L’errore scoperto da un ingegnere informatico

WhatsApp 328 3290550

Reporter:

WhatsApp 328 3290550

Letture:

5245

Asl Teramo, i referti non superano la prova privacy: «visibili a tutti»




GIULIANOVA. Tutto on line, tutto pubblico nonostante i dati dovrebbero restare riservati.
Marco Chiesi, ingegnere informatico di Giulianova, ha scoperto una falla del sistema di generazione di password dell’Asl teramana che offre la possibilità di visionare on line i referti delle proprie analisi cliniche. Peccato, però, che sia possibile vedere anche i dati sensibili di altri pazienti. Perché il sistema adoperato per assegnare codici utenti e codici segreti non è stato dei più sicuri, svela l’ingegnere.
Il servizio, nella teoria, consente ai cittadini di non doversi spostare da casa, risparmiare traffico e code chilometriche, ma sembra ovvio che bisognerà apportare qualche modifica.
«Sulla scheda di ritiro referto», spiega il nostro lettore, «c'è stampato in bella vista un link con le credenziali (Utente + Password + PIN) per accedere al servizio e scaricare il risultato delle analisi. Una bella comodità, non c'è che dire. Sembra quasi incredibile che la sanità abruzzese, nello stato precario in cui si ritrova attualmente, sia riuscita a mettere in piedi un servizio comodo e funzionante e che, immagino, farà risparmiare le casse della regione».

«QUALCOSA NON QUADRA»
«Sarà per deformazione professionale, essendo un ingegnere informatico», ammette Chiesi, «ma l'occhio mi cade inevitabilmente sui dati forniti per l'accesso al servizio. Sarà che per lavoro devo gestire centinaia, anzi migliaia, di credenziali, ma intuisco qualcosa di strano. I dati sono fatti come segue (li ho ovviamente leggermente modificati per motivi di privacy…). Utente: 20131232421, password: 12102421, pin: 31232421.
«Già il fatto di usare delle credenziali esclusivamente numeriche non è che sia il massimo in termini di sicurezza, dato che rende l'accesso estremamente più vulnerabile rispetto a password miste con numeri e lettere. Noto stupito che le ultime 4 cifre sono esattamente le stesse per i 3 codici, la qual cosa rende ancora più semplice fare dei tentativi per un potenziale utente malevolo che volesse provare ad accedere ai dati. Ma non solo, il PIN di fatto è una copia esatta delle ultime 8 cifre del codice utente, per cui è sostanzialmente una informazione ridondante. Infine noto anche che la parte iniziale del codice utente e della password corrispondono di fatto alla data odierna: 2013 (l'anno) e 1210 (ovvero 12 ottobre). Tutto ciò di per sé sarebbe già sufficiente a facilitare enormemente l'accesso online illegittimo a questi dati che, ricordiamo, possono essere estremamente sensibili, riguardando l'esito di prestazioni sanitarie». A questo punto il lettore chiede alla sua compagna di fargli vedere anche il suo foglio: «sono rimasto totalmente senza parole. In pratica i tre codici erano identici a miei, con la sola differenza dell'ultima cifra, denotando chiaramente che c'era una banale progressione numerica. Ci confrontiamo anche con la signora in fila dietro di noi e stessa storia: anche lei aveva codici identici ai nostri con la sola variazione delle ultime cifre.

LA ASL: «CUSTODITE I CODICI»
In conclusione è come dire che tutti i referti degli esami di laboratorio di tutti gli utenti della ASL di Teramo sono visibili pubblicamente online da chiunque… alla faccia della privacy».
La cosa più divertente è che sullo stesso foglio, accanto ai codici, c'è scritto: "Il codice personale assegnato dovrà essere custodito con la massima diligenza al fine di evitare che terzi accedano ai referti di laboratorio."
«Mi piacerebbe tanto sapere chi è il genio dell'informatica che ha realizzato questo algoritmo formidabile per la generazione delle credenziali, nonché sarei di curioso di sapere qual è lo stipendio del responsabile dei sistemi informativi della Asl», chiede il lettore. «Guarda caso, all'uscita della sala prelievi troviamo a fare la fila dietro di noi nientemeno che il sindaco di Giulianova, Francesco Mastromauro, al quale facciamo presente questa colossale anomalia del sistema. Rimane anche lui piuttosto perplesso e ci ringrazia per l'utile segnalazione, dicendo che farà presente la cosa a chi di dovere».