Link alla notizia: http://www.hwupgrade.it/news/web/acquisti-pubblica-amministrazione-italiana-il-portale-e-un-colabrodo_52842.html

Il Fatto Quotidiano ha pubblicato un report per denunciare il grado di sicurezza del Portale degli acquisti della Pubblica Amministrazione. Un utente mediamente esperto poteva non solo impostare alcune opzioni del Portale, ma anche accedere a dati privati sensibili. Dopo la denuncia da parte del quotidiano la struttura del sito è cambiata, con un form per il login per gli amministratori

Click sul link per visualizzare la notizia.

mi chiedo come sia possibile tutto ciò!! :ciapet: :ciapet:

notizia un po' vecchia dato che hanno sistemato già ieri mattina
leggete le news da toms e dopo le postate il giorno dopo :P

Si ma ragazzi, posso capire (ma non giustificare) una certa vaghezza delle informazioni da parte di un quotidiano o una testata generalista, ma da un sito (sulla carta) specializzato mi aspetto qualcosa di più...

Per come avere riportato la notizia sembra che fosse possibile loggarsi all'interfaccia di backend dell'applicazione e accedere direttamente al dbms, quando invece si trattava semplicemente dell'interfaccia del solo motore di indicizzazione usato dall'applicazione.
Questo non per sminuire la gravità del caso, ma per dare una giusta informazione sulla problematica.

Più in generale posso dire che proprio da consulente IT che lavora prevalentemente per la pubblica amministrazione questo incidente non mi sorprende nemmeno un po'.
Ovviamente viene spontaneo sparare sulla croce rossa denunciando il lassisimo e l'incompetenza della PA (lungi da me negare questi dati oggettivi, e dato che ci lavoro dentro da più di 10 anni qualcosina penso di saperne...), in realtà questa casistica è lo specchio esatto della attuale condizione dell'IT nella PA.

Giusto due dati:

nella PA qualsiasi cosa si muova nel comparto IT viene fatta da consulenti (per mille motivi che non sto qui a spiegare per non andare troppo OT).
qualsiasi attività di una certa consistenza è sottoposta a gara d'appalto al ribasso
le gare hanno dei requisiti tali da permettere solo a grandi realtà di partecipare (fatturato, storico di altre gare simili vinte, certificazioni unicamente formali e tutt'altro che tecniche)
con l'esclusione di un paio di casistiche le grandi realtà informatiche presenti in Italia hanno solo una struttura commerciale e non tecnica, alcune per scelta, altre per cattiva gestione o spartizione pseudo-politica (es Telecom Italia, uno dei grossi nomi nell'IT nazionale, fino a pochi anni fa aveva un comparto IT veramente d'eccellenza, ora del tutto smantellato).
Per questo motivo tutte subappaltano le commesse a società partner (generalmente piccole o piccolissime) che hanno quasi soltanto personale tecnico e che si smazzano tutto il lavoro


E' ovvio che con questa struttura i big che ci mettono la faccia (e si presentano dal cliente giusto una volta ogni 6 mesi o 1 anno a firmare un contratto) danno un contributo pari a ZERO, prendendosi però un bel markup.
Dato che con la celeberrima "spending review" i fondi a disposizione degli enti pubblici si sono ridotti, le gare hanno avuto una stretta.

Secondo voi dove hanno tagliato?
Sulle licenze? Es aumentando i software open a scapito dei prodotti commerciali.
Sulla burocrazia? Es riducendo i vincoli alle gare in modo da permettere alle piccole società (che poi in definitiva sono quelle che portano avanti i lavori) di partecipare direttamente tagliando i big-parassiti che non danno alcun contributo reale?
Ovviamente no, hanno tagliato sui costi del personale, ottenendo quindi gare dove i costi per tecnico senior (sviluppatore, sistemista, analista, webdesigner, grafico) partono da 160 € a giornata e spesso si chiudono a 140 € a giornata o meno.

All'apparenza può non sembrare male, ma se fate due conti risultano 20 € o meno l'ora per una figura altamente specializzata, senior e che fa un lavoro di grande responsabilità (e credetemi, quando gestite un portale o un servizio che in caso di down genera articoli su Repubblica o Corriere, oppure blocco totale di pagamenti su tributi o blocco di uffici pubblici, la pressione e la responsabilità di fanno sentire... :rolleyes: ), ne più ne meno come un garzone dal panettiere (con tutto il rispetto per questa nobile professione).

Fino a qualche anno fa le gare si chiudevano a circa 300-350 euro a giornata, e non pensiate che siano tanti, tra subappalti e costi di gestione sono giusti giusti per pagare al tecnico i suoi 1400-1500 euro al mese (oggettivamente pochi per una figura senior) e per non far fallire la società per cui questo lavora.
Ora con questi tagli al posto della figura senior ci finisce un junior, neo laureato o diplomato, magari appassionato o volenteroso, ma del tutto inadeguato per il compito e senza esperienza.
Viene venduto come senior, magari affiancato da un senior in fase di setup iniziale (il quale poi viene sballottolato tra mille clienti a spot per poter rendere abbastanza da pagargli lo stipendio, ribadisco sottopagato) e poi lasciato totalmente a se stesso e allo sbando.

Ecco il perchè di queste casistiche, sono la pura e semplice conseguenza di una gestione dissennata nelle procedure di assegnazione delle gare. :O

:help: :help: :help: ... e purtroppo posso confermare che molto di tutto quanto detto è presente anche nell'ambito sanitario...:help: :help: :help:
L'errore più grosso è lasciare ai politici il controllo della situazione: sono tendenzialmente totalmente incompetenti e si appoggiano a manager assolutamente ricattabili che devono solo far (forse...) quadrare dei bilanci senza minimamente preoccuparsi dei risultati...

Non era necessario alcuno strumento, o violare alcuna legge, per accedere ai dati sensibili

no certo, se trovo una porta aperta io entro sempre nelle case degli altri.
nessuna legge me lo vieta... :doh: