Una leggerezza, ora corretta, permetteva di scaricare i file Excel contenenti i dati di tutti i lavoratori in smart working in Italia. Saltando anche l’autenticazione con lo SPID.
Le aziende che vogliono fare smart working, in Italia, sono obbligate a comunicarlo al Ministero del Lavoro e delle Politiche Sociali. Nell’ambito delle misure adottate dal Governo per il contenimento e la gestione dell’emergenza sanitaria, il 1° marzo 2020 dello scorso anno è stato emanato un decreto che interviene sulle modalità di accesso allo smart working.
Queste misure, che il Decreto Riaperture ha appena prorogato fino al 31 luglio del 2021, prevedono l’utilizzo di una procedura semplificata che permette alle aziende di caricare in modo massivo, tramite un file excel, l’elenco dei dipendenti che lavorano da casa in modo agile.
Sembra assurdo, ma tutti i file excel caricati dalle aziende potevano essere scaricati da qualsiasi utente senza neppure essere autenticato. Usiamo il passato perché la falla è stata chiusa, come spieghiamo poco più sotto.
Una falla di sicurezza enorme: bastavano poche ore per mettere mano a centinaia di migliaia di file contenenti nome, cognome, codice fiscale, data di nascita e voce di tariffa INAIL di tutti coloro che oggi stanno lavorando in smart working.
Nonostante il portale prevedesse l’autenticazione tramite SPID, molte chiamate dal browser verso il server non controllavano né la presenza dell’utente autenticato e neppure i permessi dell’utente.
Il sistema, è evidente, è stato sviluppato senza gli adeguati controlli e probabilmente in fretta, a causa dell’emergenza. La fretta, in ogni caso, non può essere un alibi.
