Acquisti della PA italiana, dati sensibili diventano pubblici

Brutta gaffe per Ministero dell’Economia e delle Finanze e per CONSIP, società che svolge attività di consulenza, assistenza e supporto in favore delle amministrazioni pubbliche nell’ambito degli acquisti di beni e servizi. “Il Fatto Quotidiano” ha pubblicato un reportage nel quale viene documentato il lavoro di analisi svolto nei giorni scorsi da Fabrizio Vassallo, webmaster che ha esaminato il funzionamento della piattaforma per la gestione dei contenuti (CMS, content management system) utilizzato per il sito acquistinretepa.it.

Si tratta del “portale degli acquisti della Pubblica Amministrazione” (PA) che contiene non soltanto le informazioni per la vendita di beni e servizi da parte di professionisti ed imprese ma conserva documenti relativi ai partecipanti ai vari bandi ed alle iniziative promosse nel corso del tempo.

Il sito web acquistinretepa.it poggia su OpenCMS – com’è immediato evincere esaminando il codice HTML della home page -, un CMS opensource oltre che software libero (licenza GNU GPL/GNU LPGL). Bene. Si tratta di un prodotto aperto che viene sviluppato e mantenuto aggiornato dalla comunità degli sviluppatori.
A sua volta, OpenCMS è stato integrato con Apache Solr un software opensource che si propone come una piattaforma di ricerca delle informazioni altamente scalabile e capace di attingere a numerose fonti di dati permettendo, tra l’altro, una ricerca full-text.
Solr è integrato direttamente in OpenCMS come piattaforma per la ricerche di informazioni in ambito enterprise (vedere questa pagina).

Come si evince dal video che è stato pubblicato da Vassallo e rilanciato da “Il Fatto Quotidiano” nelle sue pagine, gli amministratori di acquistinretepa.it avrebbero commesso gravi errori nella configurazione del CMS e del server web.

Fino a qualche ora fa, infatti, sarebbe stato possibile – per chiunque – da qualsiasi sistema (e non quindi, al limite, solo dalla Intranet ministeriale) accedere all’intero contenuto delle basi di dati utilizzate da Solr con la possibilità di sottrarre dati sensibili e modificare le informazioni già presenti.
Bastava infatti servirsi di semplici query SQL per recuperare e scaricare tutte le informazioni d’interesse, comprese carte d’identità, numeri di conti corrente, indirizzi ed altre informazioni personali.

Gli amministratori del portale degli acquisti della PA sembra siano intervenuti per eliminare la pericolosissima “svista”. La domanda però sorge spontanea: da quanto tempo i dati erano pubblicamente consultabili? Da quanto tempo, utilizzando una semplice modifica sull’URL di acquistinretepa.it era possibile accedere a dati che avrebbero dovuto essere custoditi con cura? È infatti impossibile escludere a priori, se non esaminando i log del server web, che i dati possano essere stati già oggetto di razzìa, ben prima della segnalazione di Vassallo.