"Io, hacker 18enne, ho salvato i bonus ai giovani"

Ha segnalato una falla sul sito del governo "18app": gli utenti potevano essere derubati dei 500 euro

Altro che 500 euro di bonus per i neo maggiorenni. Il governo ha toppato un'altra volta. E ci voleva proprio un 18enne per dare lezioni di sicurezza informatica a tutti i massimi esperti di neo tecnologie scelti da Renzi al ministero dell'Economia, scoprendo che il sito web 18app.italia.it era vulnerabile e presentava lacune di sicurezza talmente gravi da erogare un numero virtualmente illimitato di «buoni sconto». Non solo. Un qualunque utente di 18app.italia.it avrebbe potuto eliminare i buoni di tutti gli altri.

Si chiama Luca, abita in provincia di Treviso, ed è un «hacker gentiluomo», anche se questa definizione gli sta un po' stretta: «Diciamo che nel nostro mondo è prassi non autodefinirsi hacker: viene visto come un atto di presunzione. Ma è molto meno imbarazzante che definirmi un semplice appassionato di informatica o un ricercatore di sicurezza», dice.

Un giorno Luca ha aperto l'applicativo del governo e dopo aver provato a replicare qualche richiesta ha subito notato che qualcosa non andava. «Essendo nato nel 1998 ho avuto accesso al bonus cultura - promesso dal governo Renzi nell'ultima legge di Stabilità per il quale sono stati stanziati 290 milioni di euro - che prevede l'accesso a 500 euro da investire in biglietti, libri e molto altro - rivela al Giornale -. Il 14 novembre scorso ho fatto un test sia col mio account, sia con quello di un amico che mi ha autorizzato all'accesso. Ho così sviluppato un sistema che mi permettesse di fregare il bonus del mio amico, senza alcun login all'account, in un modo del tutto legale. Ho preso molti bonus per un totale di 500 euro. Ho poi bloccato molti altri bonus, sul mio account e su quello mio amico, ma se avessi voluto, avrei potuto bloccare i bonus di tutti gli utenti registrati a 18app.italia.it».

Ma non l'ha fatto. Anzi, una volta accertate le falle, ha responsabilmente informato il Cert nazionale e Sogei, società controllata dal ministero dell'Economia che ha realizzato 18app.italia.it. «Ringrazio Paolo Stagno di Torino, fondatore di VoidSec - comunità italiana dove matematici, informatici, ricercatori o semplici appassionati possono riunirsi per discutere di sicurezza informatica e avviare progetti di ricerca - per avermi messo in contatto con questi enti».

La modalità di erogazione del bonus avviene tramite l'accesso ad un sito web in seguito all'autenticazione della propria identità digitale. «Non si tratta effettivamente di un'app come potrebbe suggerire il nome - spiega Luca - ma di un sito web accessibile anche dai dispositivi mobili». E la falla stava proprio qui. «La vulnerabilità è nel parametro idbeneficiario. Infatti tale valore è modificabile e viene accettato senza alcun tipo di controllo - chiarisce ancora Luca - In altre parole, era possibile generare buoni utilizzando account altrui, semplicemente modificando l'id del beneficiario».

Tale identificativo non è altro che un codice numerico sequenziale: alterandolo era possibile produrre buoni sconto addebitando l'operazione sugli account di altri utenti registrati su 18app.italia.it. Era sufficiente sostituire questo parametro con, appunto, un altro numero per evadere il limite dei 500 euro. Non solo. Era anche possibile accedere ai dati personali del beneficiario - codice fiscale, data di nascita, residenza, email, telefono, etc. - violando così la privacy dell'utente. Come se non bastasse era possibile annullare qualunque buono prodotto da altri utenti. «Dal momento che anche i buoni vengono generati usando un id progressivo - conclude Luca - sarebbe stato possibile eliminare l'intero database di 18app.italia.it». Eppure, nessuna ricompensa è arrivata dal ministero. «Solo molti ringraziamenti».