Un attacco hacker a diversi centri per i test Covid ha causato un grave problema di privacy in diverse città tedesche, inclusa Berlino. Gli indirizzi, le email, i numeri di telefono, i dati personali e le date e i risultati dei test Covid di oltre 7000 residenti di Berlino, Amburgo, Lipsia e Schwerte sono stati pubblicati su internet a causa di una falla nel sistema di sicurezza del sito testcenter-corona.de, utilizzato dalla società Eventus Media International, che gestisce nove centri per i test Covid.
A rendersi conto della vulnerabilità del sito in questione sono stati gli esperti di sicurezza del collettivo informatico Zeroforschung, che hanno informato tanto l’Ufficio Federale per la Sicurezza delle Informazioni (Bundesamt für Sicherheit in der Informationstechnik, o BSI) e anche alcuni giornalisti della RBB, della MDR e della NDR.
Leggi anche:
Denis “Jaromil” Roio, hacker etico: come evitare di essere manipolati dalla tecnologia
Attacco hacker: come funziona la falla nel sistema di sicurezza che ha generato la fuga di informazioni
Il sito web che viene utilizzato per gestire le prenotazioni genera un codice per ogni registrazione. Tale codice permette all’utente di ricevere il risultato del test online. L’unicità dell’accesso, in questo tipo di sistemi, è protetta da un’interfaccia chiamata API, ovvero Application Programming Interface. Si tratta di un tipo di software che fa da “intermediario” per permettere a due applicazioni di comunicare. Per intenderci, un API è quello che permette di utilizzare app come Facebook e Instagram, che richiedono di effettuare un accesso. Normalmente all’interfaccia può accedere solo chi gestisce un sito o un software, ma in questo caso la scarsa protezione rendeva l’accesso possibile anche dall’esterno. Eventus Media International ha in seguito dichiarato di aver risolto il problema, chiudendo la falla nel sistema di sicurezza del sito nella giornata di martedì. L’azienda si è anche scusata con gli utenti colpiti dalle violazioni della privacy occorse in conseguenza della mancata protezione dell’API, motivando l’errore con il poco tempo avuto a disposizione per allestire l’intero sistema.
Come vengono protetti i dati nei centri per i test Covid?
A peggiorare il quadro generale c’è il fatto che questa non è la prima volta che i dati degli utenti dei centri per i test Covid sono oggetto di attacchi hacker. La RBB ha infatti riportato una falla con il furto di oltre 136.000 nominativi e relativi dati sensibili a metà marzo.
Il presidente del BSI Arne Schönbohm ha specificato che gli standard di sicurezza per la gestione di infrastrutture digitali nel settore sanitario sono molto alti, ma che sfortunatamente tali requisiti non sono ancora stati imposti per legge ai centri per i test Covid. Nel frattempo, lo stesso ufficio ha attivato un dipartimento speciale incaricato di analizzare tutte le questioni riguardanti la sicurezza informatica nella gestione della pandemia.
La Eventus Media International non è stata in grado di determinare con esattezza quali utenti siano stati vittime della fuga di dati sensibili, ma ha espresso la volontà di informarli non appena saranno disponibili informazioni certe in merito. Nel frattempo, è ragionevole pensare che tutti coloro che hanno effettuato un test prenotandolo sul sito testcenter-corona.de debbano considerare la probabilità che i propri dati siano stati pubblicati online. Chi ritiene di essere fra le persone colpite dovrebbe contattare l’autorità competente per la protezione dei dati.
Nel frattempo, l’azienda ha assicurato che sottoporrà i propri sistemi di protezione a un controllo completo e rigoroso, affidandosi a una società specializzata in sicurezza informatica, onde evitare che episodi come questo possano ripetersi in futuro.