Vulnerabilità sul sito Referendum Cannabis, mette a rischio privacy dei sottoscrittori

ATTENZIONE: post sottoposto ad aggiornamenti. Tutti gli Updates in fondo alla pagina.

Sembrerebbe ci sia un malfunzionamento del sito che gestisce le sottoscrizioni elettroniche per il referendum, lanciato pochi giorni fa, al fine di raccogliere online le firme necessarie alla trattazione di un referendum a livello nazionale per la legalizzazione della Cannabis in Italia.

Scoperto da un utente, Carmine di Gregorio, il problema è abbastanza rilevante per la privacy dei cittadini che hanno scelto di sottoscriverlo tramite questa modalità.

Come funziona?

In base alla scoperta fatta dall’utente, chiunque sarebbe in grado di lanciare una query GET al server che gestisce i dati della raccolta firme sotto forma di API, solamente conoscendo l’indirizzo e-mail di un firmatario. Per via di questa vulnerabilità il server risponderebbe con un risultato che lascia senza parole: molti dettagli di questo/a cittadino/a che ha sottoscritto la raccolta firme tra cui, Codice Fiscale, Nome, Cognome, Provincia, Comune, Regione, dettagli sullo SPID utilizzato, data di nascita

Il tutto è ricavabile con una “semplice” (per chi la conosce, scoprirla non è una cosa semplice per niente, onore all’utente!) query GET che assuma la forma

app/api/v1/profile/email/send?email=xxx@xxx.it&codice=CANNABIS&comune=xx&provincia=yy&regione=xx

lanciata sul server che ospita la piattaforma per la sottoscrizione.

Viene da se che tutto ciò è un gran problema. Aggiungo che questa vulnerabilità è stata resa nota oggi, e non ci sono evidenze che possa esser stata sfruttata prima che i responsabili siano corsi al riparo, bloccando anche l’accesso al sito per diverse ore nella giornata, però questo non ne azzera la pericolosità e l’allarme per la privacy di tutti è dietro l’angolo.

L’utente ha registrato un video esplicativo che riassume quanto esposto, per dimostrare la vulnerabilità, che per comodità inseriamo qui sotto:

Conclusione

Faccio notare che questa raccolta firme ha avuto fin dal momento del lancio uno strepitoso successo, raccogliendo fino al momento della scrittura di questo post più di 450 mila firme, passati appena 4 giorni dall’apertura. Tutto questo successo ovviamente non fa altro che aumentare il pericolo per la trattazione dei dati, sopratutto se ci si perde con le più semplici pratiche di buona gestione dei dati.

Updates:

  • La vulnerabilità, testata dopo il 16 settembre 2021 sembra sia stata risolta. Non sono tuttavia presenti comunicati ufficiali dagli organizzatori della piattaforma. https://twitter.com/sonoclaudio/status/1439126883594088449?s=21