Ieri, 1 aprile 2020, il sito dell’Inps dedicato alla richiesta del bonus di 600 euro per le P.Iva sarebbe dovuto aprire, ma è successo un bel casino, diciamo all’italiana, purtroppo.
Ripercorriamo i fatti, ricostruiamo quel che è successo e vediamo perché l’ipotesi dell’attacco hacker, sostenuta anche dal premier Conte, sembra più una scusa.
Segui il nostro speciale Covid-19
Che cos’è successo al sito Inps
Prima di tutto ci sta un bel resoconto di quel che è successo:
- nella nottata sembra andare tutto ok, vengono inviate 300mila domande regolari dall’una di notte alle 8.30 circa
- durante la mattinata il sito web dell’Inps dedicato alla richiesta del bonus ha ricevuto un boom di accessi
- IlSole24Ore ha comunicato di aver ricevuto migliaia di segnalazioni per disservizi dai suoi lettori, che lamentavano rallentamenti per accedere ai servizi delle prestazioni per coronavirus
- diverse persone segnalano che entrando nel sito sono visibili in chiaro i dati personali degli altri utenti
- alle 13.30 l’Inps chiude il sito
- Garante della privacy: “Questo data breach è un fatto gravissimo, siamo molto preoccupati”
- Presidente dell’Inps Pasquale Tridico: “Abbiamo ricevuto nei giorni scorsi, e anche stamattina, violenti attacchi hacker“
- Alle 18 il sito riapre ma con ancora evidenti problemi
- Inps ha deciso di aprire il portale per fasce orarie a seconda degli utenti, risolvendo la questione
- Anche il premier Giuseppe Conte sostiene l’ipotesi dell’attacco hacker
Attacchi hacker? Perché sembra tutta una scusa
La prima cosa che stona con tutto questo è quella relativa al data breach. Diversi utenti che entravano nel sito con il proprio account venivano in realtà reindirizzati alla pagina di altri utenti, mostrando loro in chiaro i dati personali di queste persone sconosciute.
Il caso è talmente grave che il garante della privacy si è subito allarmato, dichiarando che “Abbiamo immediatamente preso contatto con l’Inps e avvieremo i primi accertamenti per verificare se possa essersi trattato di un problema legato alla progettazione del sistema o se si tratti invece di una problematica di portata più ampia. Intanto è di assoluta urgenza che l’Inps chiuda la falla e metta in sicurezza i dati”.
La giustificazione da parte di Tridico (presidente Inps), riportata poi anche dal premier Conte, è stata quella dell’attacco hacker. Le cose che insospettiscono sono diverse:
- né noi né Tridico né IlSole24Ore possiamo sapere se si sia trattato o meno di attacco hacker (ad ora), ma il fatto che anche il premier Conte abbia subito utilizzato questa giustificazione senza avere prove certe insospettisce non poco;
- solitamente gli attacchi hacker non fanno in modo che altri possano entrare nelle pagine di altri utenti visualizzandone i dati personali. Al massimo sono gli hacker (o meglio, i cracker, leggete sotto per questa distinzione importante) a prelevare questi dati;
- quando avviene un attacco hacker così importante viene rivendicato dagli autori (ovviamente anonimi) vista l’importanza e la grandezza dell’operazione. Questo non è avvenuto, anzi i possibili indiziati si sono anche dovuti scomodare dopo le dichiarazioni di Conte, per chiarire che nessuno di loro ha messo mano sul sito dell’Inps (vedi dichiarazione di Anonymous);
- il sito era stato fatto in modo a dir poco grossolano come hanno mostrato vari utenti (e infatti bastava dare un’occhiata al codice per capirlo);
- lo stesso presidente dell’Inps ha poi ammesso che c’è stato un picco di traffico, quindi il problema sembra legato a questo aspetto (e al fatto che il sito sembra essere stato fatto “con i piedi”).
Non sono mancate ovviamente le prese in giro a livello mondiale, giusto per dare quel tocco in più che mancava alla già ottima reputazione italiana in campo informatico :)
“L’ignoranza informatica nel 2020 non è ammessa”
Consentitemi poi un appunto, perché l’ignoranza della legge non è ammessa ma nemmeno quella informatica nel 2020 dovrebbe esserla, e vale anche e soprattutto per le istituzioni che dovrebbero invece dare l’esempio:
- l’hacker è quella persona contraddistinta da una cultura e un’etica legata all’idea del software libero;
- il cracker (il cosiddetto pirata informatico in italiano, spesso confuso in maniera totalmente errata con l’hacker) è invece colui che è in grado di introdursi in reti di computer, senza autorizzazione, allo scopo di danneggiare un sistema informatico; può essere spinto da varie motivazioni, inclusa quella del guadagno economico attraverso operazioni di spionaggio industriale o frodi.
Ovviamente l’Inps può sempre dimostrare il fatto che l’attacco hacker (cracker) sia davvero avvenuto nella giornata del 1 aprile. Portando però, questa volta, una documentazione come prova.
Reply