Su un campione di 150 siti istituzionali di Comuni italiani, ben 123 (l’82%) risultano vulnerabili ad attacchi di brute force.
Il test è stato eseguito con il semplice scopo di individuare la login page che permette di amministrare il sito, nell’82% dei casi il percorso per accedere al pannello di amministrazione era quello di default quindi conoscibile da chiunque (es. /wp-admin per WordPress, /system/login per siti realizzati su OpenCMS ecc.), quindi i files sono stati semplicemente caricati sul server senza alcuna modifica.
In tutti i casi di installazioni di default non abbiamo rilevato alcun blocco per contrasto di possibili attacchi di brute force (es. con capcha), in altre parole un algoritmo potrebbe tentare di generare admin e password e permettere a terzi non autorizzati di avere il pieno controllo di tutte le funzionalità del sito, inclusa la possibilità di modificare le pagine web ad esempio iniettando malware esponendo quindi tutti i cittadini ad epidemie di infezioni digitali, oppure di utilizzare il webserver per caricare files illegali.
Non è l’unica e nemmeno la più pericolosa vulnerabilità che possiamo riscontrare su un sito web, sicuramente è una delle più semplici da individuare tentando casualmente il percorso di default, ma la scarsa sensibilità alla sicurezza soprattutto su siti di informazione per i cittadini fortemente visitati, dovrebbe far riflettere.