Il furto di dati di ho.mobile e l’informatica moderna

Non avrebbe senso descrivere di nuovo ciò che è accaduto, ormai lo sanno praticamente tutti: ho.mobile ha subito un attacco e i dati personali di moltissime persone sono stati trafugati e messi in vendita nel dark web. Il gestore ha prima negato, poi indagato, poi ammesso (in ritardo), minimizzato (incredibilmente, vista la gravità della situazione) e, ad oggi, sembra ci sia un gran pastrocchio (cambiano codici seriali delle SIM ad alcuni utenti, ad altri, anche se "bucati", no...) così come sembra molto difficile cambiare gestore (portabilità bloccate o molto, molto lente).

Tanto per dirla in tono amichevole stanno facendo una magra figura da qualunque punto di vista la si voglia vedere, specialmente considerando che Ho è di Vodafone, dunque dovrebbe avere le spalle e l’esperienza di un colosso abituato a problemi di ogni genere.

Alla mia età sono ancora abbastanza giovane da avere una mente assetata di novità ma abbastanza vecchio da aver fatto esperienza e averne viste di ogni genere.

Intanto dico subito che tutto ciò non mi meraviglia. Può davvero accadere, anche se non dovrebbe. E vi spiego uno dei motivi per cui ciò avviene.

Mi trovo sempre più spesso, per ragioni professionali, a discutere con dei clienti o colleghi. Ormai il motto non è più quello di fare un lavoro fatto bene, con tecnologie e metodi chiari e semplici, mantenerlo in buona salute e far funzionare il tutto. Oggi o si seguono le mode ("tutti vogliono la blockchain, la facciamo anche noi?", "mettiamo su un cluster Kubernetes per il nostro sito statico da 10 visite al giorno") oppure si fanno delle cose, spesso in maniera dozzinale, e si lasciano in produzione per anni, senza curarsi delle conseguenze. Prima o poi se ne paga il prezzo. E, spesso, il prezzo è altissimo.

Alcuni miei clienti si sono rivolti, in passato, a team di sviluppatori cinesi o indiani. I costi erano ridicoli, i presupposti ottimi. Il lavoro svolto è stato pessimo, con una bella facciata ma colonne di sabbia e sono spariti appena incassato il dovuto. Lasciando guai e problemi a chi deve mandare avanti l’infrastruttura.

Un (ex) cliente mi ha telefonato dicendo che il server appena fatto era stato bucato pochi giorni dopo essere stato messo online. Da un’indagine molto breve è venuto fuori che il Wordpress aveva utente amministrativo "admin" e password, da loro impostata, "admin". Come si può tamponare una leggerezza del genere? Ho risolto, mio malgrado, dicendo al cliente che non avremmo più potuto collaborare visti i loro standard di sicurezza.

Caratteristica del mestiere informatico è sempre stata il non richiedere una particolare formazione ma consentire a chiunque di svolgerla, pur senza studi specifici.

Oggi stiamo assistendo alle estreme conseguenze di questa situazione: ci si trova a lavorare molto spesso con persone con scarsa formazione e che fanno esperienza solo sul campo. Mancando però delle basi teoriche e di partenza, volenti o nolenti avranno molto spesso delle lacune. Il guaio è che, come spesso accade, chi sa è pieno di dubbi mentre chi non sa è pieno di certezze. Il risultato è semplice: si mette in produzione qualcosa di insicuro, carente, pericoloso e dozzinale. Il risultato? Ciò che è accaduto ad ho.mobile.

Ammetto con un certo grado di tristezza di essere preoccupato per alcune delle situazioni che gestisco online. Pur essendo abbastanza intransigente, vengo a volte costretto (ubi maior...) a dover chiudere un occhio di fronte a cantonate tecniche, pratiche di sicurezza inesistenti, sistemi non aggiornati e vulnerabili in quanto "non abbiamo tempo per aggiornare" o "i ragazzi sono giovani, non sanno prendere in mano la situazione".

In altri casi passo la vita a ripristinare da backup dei CMS che vengono bucati quotidianamente. "Non abbiamo tempo di aggiornare, tu ripristina poi vedremo". Poi il silenzio, fino all'hack successivo.

No, non è questo il modo corretto di lavorare, purtroppo. Oggi di base mancano due cose: vera formazione (non un corso online ma della vera formazione strutturata) prima di affacciarsi al mondo dell’IT e, come causa e conseguenza di ciò, l’umiltà di capire i propri limiti e mettersi in gioco. Ci sono persone che arrivano senza esperienza ma che, con buona volontà e impegno, imparano sul campo anche meglio di chi magari ha passato anni a studiare certificazioni o in facoltà. Per fortuna ho molti colleghi e amici che rientrano in questa categoria.

Ma molti oggi si affacciano senza titoli, senza esperienza, senza formazione e senza preparazione di alcun genere ma vogliono comandare, decidere, imporre ed avere ragione. Tutto si può imparare ma ci vogliono la volontà di farlo e la giusta umiltà di capire cosa studiare, non quell’estrema tracotanza che contraddistingue, purtroppo, molte figure (specialmente giovani) nel mondo dell’IT.

Dunque no, ciò che è accaduto ad ho.mobile non dovrebbe accadere. Ma fretta, scarsa attenzione, arroganza e incompetenza creano delle voragini che, prima o poi, verranno sfruttate.