Lo avrete già sentito sicuramente: il sito poste.it è stato defacciato alcuni giorni fa, precisamente il 10 Ottobre. Ovviamente, avendo il gesto colpito poste.it, subito in rete sono “nati” una serie di articoli, bene o male l’uno la copia dell’altro, inneggianti alla mancanza di sicurezza dei dati in rete.
L’atto è un po’ diverso dal classico defacement. Gli attori di tale gesto non hanno, almeno a detta loro, compiuto alcuna operazione dannosa e/o lesiva ma più che questo il loro sembra essere stato un gesto dimostrativo su quanto potenzialmente tutti i nostri dati possano essere estremamente insicuri. Tramite chissà quale bug, si sono preoccupati “solamente” di sostituire l’homepage ma soprattutto di lasciare un messaggio ben chiaro, sia ai responsabili di Poste Italiane che ai visitatori/correntisti stessi:
“Perché questo atto di forza? Per dimostrare a milioni di italiani che i loro dati sensibili non sono al sicuro! Sembra pazzesco – si legge – eppure tutta la sicurezza garantita nei servizi online di e-commerce è solamente apparente”, era scritto nella nota. “Per vostra fortuna noi siamo persone non malintenzionate, perciò i vostri dati e i vostri accounts non sono stati toccati; ma cosa succederebbe – si legge ancora – se un giorno arrivasse qualcuno con intenzioni ben peggiori delle nostre?”
Gerardo Costabile, Responsabile della Sicurezza Logica di Poste Italiane, in tutta risposta, informa che i dati non sono minimamente stati intaccati e ne potenzialmente lo potevano essere. D’altra parte, lo si sa, riuscire a sostituire una pagina di un sito non ha nulla a che fare con l’intero sistema che ci sta alle spalle, chiaramente residente in server diversi da quelli che offrono il mero servizio web.
Il fatto che qualcuno sia riuscito a compiere il defacement su poste.it non è sicuramente positivo. Ciò significa che c’era qualche bug o vulnerabilità che lo ha permesso e questo è innegabile. Ciò che è scorretto, invece, è l’allarmismo che volontariamente viene creato attorno all’episodio che, di per sè, non è poi così grave. E’ chiaro e scontato che stiamo parlando di un’infrastruttura critica, contenente dati importantissimi e sensibili. Al contempo, però, è necessario essere obiettivi e non dare un peso estremo alla notizia.
Eventualmente – se possibile – vedremo, giusto per fornire ulteriori informazioni, di affrontare il fatto assieme a Poste Italiane per reperire e ottenere anche maggiori dettagli tecnici e ufficiali su quanto successo.
