5 Febbraio 2019
17:44

Il sito del reddito di cittadinanza trasmette alcuni dati degli utenti a Google e Microsoft

Due stratagemmi utilizzati per rendere il sito più accattivante ed efficiente chiamano in causa servizi e contenuti delle due multinazionali, che in cambio hanno accesso ai dati degli utenti collegati senza che questi vengano avvisati. Difficile che le informazioni vengano sfruttate, ma l’errore si poteva evitare.
A cura di Lorenzo Longhitano

Era attesissimo da una parte cospicua dei cittadini, è online da poche ore e sta già attirando critiche: è il sito web dedicato al reddito di cittadinanza, creato dal Ministero del Lavoro e che però — dietro alla facciata frontale dedicata all'interazione con gli utenti — sembra nascondere un codice sorgente che poteva essere scritto meglio. La denuncia è partita da Matteo Flora, ricercatore informatico nel campo dell'analisi e della protezione dei dati che, a partire dalla messa online del portale, ne ha passato al setaccio il codice html — ovvero il linguaggio che spiega al browser degli utenti che si collegano cosa va visualizzato nella pagina, in quali proporzioni e con quali caratteri. La scoperta: all'interno del sito risiedono due errori che potrebbero far finire i dati dei cittadini che richiedono il sussidio dritti nelle mani di due multinazionali dell'hi tech: Google e Microsoft.

Le sviste — racconta Matteo Flora sul suo blog — sono grossolane ma potenzialmente gravi, e riguardano due stratagemmi utilizzati dagli sviluppatori per rendere più accattivante ed efficiente la piattaforma: il primo è l'utilizzo di una famiglia di caratteri tipografici che fa parte della libreria di Google; il secondo è lo sfruttamento di un'infrastruttura cloud di Microsoft, probabilmente utilizzata per includere all'interno delle pagine filmati caricati ad alta qualità e da distribuire in modo veloce. Chiamare in causa questi due sottosistemi all'interno di una propria pagina non è una pratica inusuale, ma ha delle conseguenze: concede cioè alle società in questione alcuni dati personali di chi naviga sul sito, come indirizzo IP, dispositivo utilizzato, sistema operativo e altre informazioni che potrebbero consentire di identificare chi naviga in modo univoco; il tutto avviene inoltre senza che nell'informativa sulla privacy ci sia alcuna traccia.

Il sospetto è che gli errori derivino da una scarsa conoscenza degli strumenti implementati all'interno del sito, ma il danno resta difficile da trascurare per due motivi: intanto perché le informazioni personali dei visitatori di un sito istituzionale (che si dovrebbe poter considerare sicuro per definizione) finiscono non a una, ma a due aziende che operano al di fuori dei confini europei; inoltre perché la messa online del portale era particolarmente attesa, e le sue pagine verranno prevedibilmente prese da assalto dai cittadini desiderosi di capire con precisione come funziona la macchina del reddito di cittadinanza. Resta improbabile che Google e Microsoft vogliano o vengano messi nelle condizioni di dover organizzare una banca dati strutturata con le informazioni raccolte, ma è ipotizzabile che gli sviluppatori del sito siano comunque al lavoro per correggere le sviste, o quantomeno per riportare la situazione aggiornata all'interno dell'informativa.

Al via il sito del Reddito di Cittadinanza, ma è già "rotto"
Al via il sito del Reddito di Cittadinanza, ma è già "rotto"
Una falla nella sicurezza di un sito ha esposto i dati di 1 miliardo di persone
Una falla nella sicurezza di un sito ha esposto i dati di 1 miliardo di persone
Alcuni Nokia 7 Plus europei hanno inviato i dati degli utenti in Cina
Alcuni Nokia 7 Plus europei hanno inviato i dati degli utenti in Cina
Lascia un commento!
Più che un giornale
Il media che racconta il tempo in cui viviamo con occhi moderni