Farmacie online vulnerabili: una segnalazione anonima ci informa delle vulnerabilità e condivide database e info a riprova. I dati sensibili di migliaia di clienti italiani sono a rischio.

Farmacie online vulnerabili: l'e-commerce non é sicuro

Una fonte anonima ci ha contattati per informarci di un grave rischio alla privacy di migliaia, o forse più, di cittadini italiani.

"Vi scriviamo per informarvi di una grave situazione di sicurezza informatica che riguarda la società "XXXX", titolare del sito "XXXX", che realizza siti web di farmacie online. Il nostro team di ricercatori di sicurezza informatica ha recentemente contattato questa azienda per informarla di diverse vulnerabilità presenti nel suo sistema, ma sembra che abbia scelto di ignorarci"

L'azienda in questione è titolare appunto di una piattaforma ecommerce pensata appositamente per la vendita di farmaci online. È utilizzata per costruire appunto shop online di farmaci. Nella segnalazione, che evidentemente è stata inviata a più soggetti, aziende ed enti attive nel settore della sicurezza informatica, si legge:

"Abbiamo ottenuto il vostro indirizzo e-mail cercando su Internet organizzazioni italiane interessate alla sicurezza informatica e alla privacy".

Un segnale evidente del fatto che gli anonimi segnalatori hanno la volontà non tanto di sfruttare tali dati per trarne profitto in maniera illegittima, quanto di segnalare effettivi rischi alla privacy dei cittadini. Volontà ribadita nel testo:

"Questo comportamento (non aver risposto alle segnalazioni di vulnerabilità n.d.r) è inaccettabile e mette a rischio i dati dei clienti delle farmacie online create da questa società, nonché i dati personali degli utenti di questi siti web di farmacie. È responsabilità di questa azienda proteggere questi dati e adottare misure per correggere queste vulnerabilità. Vi invitiamo a indagare su questa società e a informare il pubblico dei rischi che comporta l'utilizzo di questi siti web di farmacie non protetti. È importante che i consumatori siano consapevoli dei rischi per la loro privacy quando utilizzano questi siti per acquistare farmaci online".

Allegato alla email di segnalazione c'è un archivio compresso, contenente la riprova di quanto affermato dai "pentester" che ci hanno contattati.

Infrastrutture e dati sensibili: cosa c'è nell'archivio

Ovviamente abbiamo proceduto a verficare quantomeno il contenuto dell'archivio che abbiamo ricevuto. E si, a prima vista sono pessime notizie. L'archivio contiene una cartella e tre file di testo

I file di testo contengono la "prova" dell'avvenuta irruzione in alcuni shop online. Uno dei file, ad esempio, fornisce l'elenco delle tecnologie in uso su un ecommerce costruito con la piattaforma, così come la struttura del sito. 

Le vere note dolonti però sono i 3 file CSV contenuti nella cartella "Tre esempi di database CLIENTI di FARMACIA". Qui ci sono dati in chiaro appartenenenti ai clienti di una serie di ecommerce italiani. 

Tutti e tre i database contengono dati sensibili, in chiaro:

• nome e cognome,
• indirizzo fisico,
• codice fiscale,
• partiva IVA,
• telefono,
• email,
• user ID,
• password,
• consenso al trattamento dati,
• data di registrazione,
• data ultima modifica,
• indirizzo IP,
• PEC.

N.B: l'articolo recava, in prima bozza, la lista delle farmacie online vulnerabili. Siamo stati contattati e ci siamo confrontati con il gestore della piattaforma e ne abbiamo condiviso la preoccupazione sul fatto che tale denuncia non sia dovuta a disinteressata difesa della privacy degli utenti quanto a strategie di concorrenza. Accademia Italiana Privacy non ha intenzione di prestarsi a dinamiche di questo tipo, fedeli alla nostra mission di diffondere cultura della privacy e consapevolezza del valore dei dati personali. L'articolo resta online a fine di denuncia di un rischio, ma abbiamo deciso di omettere il nome dell'azienda gestrice della piattaforma.