Tecnologia

Come giocare con il sito del reddito di cittadinanza

hackerare sito reddito di cittadinanza 3

Lo sapete che c’è anche Lino Banfi sul sito del reddito di cittadinanza? Per vederlo cliccate qui, o – nel caso il problema dovesse essere stato risolto nel frattempo – potete ammirare la foto qui sotto:

hackerare sito reddito di cittadinanza 3

 

Ma se non vi piace potete scoprire se i Queen avranno diritto al reddito di cittadinanza cliccando qui:

hackerare sito reddito di cittadinanza 1

Come è possibile questa magia? Per replicarla, a meno che il problema non venga riparato nel frattempo, fate così: andate sulla homepage del sito del reddito di cittadinanza, scrivete la stringa di ricerca che volete utilizzate preceduta dal cancelletto (#), seguita dalle lettere br precedute e seguite da apici <> – servono per andare a capo – poi prendete l’embed del video da Youtube e incollatelo sulla stringa di ricerca del browser. E il gioco è fatto:

hackerare sito reddito di cittadinanza 2

Come è possibile il tutto? Questa cosa gli informatici la chiamano injection, perché letteralmente permette di “iniettare” contenuti in mezzo alla pagina. Tutti i campi dove l’utente può inserire dati devono passare attraverso un processo detto di input sanitization allo scopo di scartare particolari caratteri (come <, >, ;, {, }, ecc.) che sono propri dei linguaggi di programmazione per il web. La mancata sanitization può portare a effetti come quelli che vedete in foto, ma anche più nefasti come inserimento di virus, furto di dati, ecc… Nel caso del sito del reddito di cittadinanza evidentemente la barra di ricerca non subisce il processo di input sanitization. E questo è il risultato finale.

Un “problemino” (si fa per dire), insomma, diverso da quello segnalato da Matteo Flora: il sito del reddito di cittadinanza “richiama” Google Webfonts e Microsoft Azure, che però non sono nominati nella normativa GDPR sui dati.

il Ministero ha deciso di “regalare” i dati di navigazione degli utenti sul sito a un ente terzo, per di più extra UE: Google. Per di più per due dannate FONT, che nons ervono davvero a nulla e che non danno alcun vantaggio di alcuna forma.

E nel caso vi venisse il dubbio che Google Fonts debba essere menzionato nella Informativa, il dubbio ce lo scioglie Google stesso qui con un Comunicato Ufficiale del 17 Aprile 2018 sulla questione dove dichiara di dover essere trattato come un Data Controller.

Nel complesso, un ottimo inizio per chi è famoso in tutto il mondo perché “fa le cose perbene”.

Leggi sull’argomento: Perché la Lega ha cambiato idea su Guaidó e il Venezuela