Uno tra i cambiamenti più importanti che la pandemia da Coronavirus ci ha costretti ad abbracciare a piene mani è il lavoro da casa o in smart working, come ormai siamo abituati a chiamarlo. Come previsto dall’ordinamento relativo alle misure di emergenza relative al 1° marzo 2020 e confermato anche in questi giorni con il Decreto Riaperture, tutte le aziende che vogliono fare smart working sono tenute a comunicarlo al Ministero del Lavoro e delle Politiche Sociali.

I dati più personali liberamente scaricabili

In questo modo, tutte le aziende interessate, sono così portate a comunicare la lista completa dei dipendenti in smart working caricando degli appositi file excel. Purtroppo, però, come scoperto dai colleghi di DDay.it, il portale web utilizzato per caricare le sopracitate liste conteneva una grave falla di sicurezza. Tutti i file excel presenti nel portale, infatti, potevano essere scaricati liberamente tramite due semplici chiamate web da chiunque, senza nemmeno immettere le credenziali di accesso tramite SPID.

Con questa falla sarebbe stato possibile scaricare l’archivio completo di tutti i dipendenti impegnati a lavorare in smart working, con relativa fuga dei dati strettamente riservati come nome, cognome, codice fiscale, data di nascita e voce tariffa INAIL. Fortunatamente la falla è stata corretta piuttosto celermente dal team di sviluppo del Ministero del Lavoro che dapprima ha oscurato l’applicazione e successivamente ha corretto il bug.

È probabile che la svista sia in qualche modo legata alla fretta del dover mettere online un servizio vitale per tutte le aziende toccate sul vivo dall’emergenza sanitaria e che sono ricorse allo smart working, ma non è certamente una scusante quando c’è di mezzo la sicurezza e la tutela delle informazioni private dei cittadini.