Inps, sito down, dati pubblici in chiaro, “attacco hacker”: la figuraccia italica

sito inps

Ieri, 1 aprile 2020, il sito dell’Inps dedicato alla richiesta del bonus di 600 euro per le P.Iva sarebbe dovuto aprire, ma è successo un bel casino, diciamo all’italiana, purtroppo.

Ripercorriamo i fatti, ricostruiamo quel che è successo e vediamo perché l’ipotesi dell’attacco hacker, sostenuta anche dal premier Conte, sembra più una scusa.

Segui il nostro speciale Covid-19

Che cos’è successo al sito Inps

Prima di tutto ci sta un bel resoconto di quel che è successo:

  1. nella nottata sembra andare tutto ok, vengono inviate 300mila domande regolari dall’una di notte alle 8.30 circa
  2. durante la mattinata il sito web dell’Inps dedicato alla richiesta del bonus ha ricevuto un boom di accessi
  3. IlSole24Ore ha comunicato di aver ricevuto migliaia di segnalazioni per disservizi dai suoi lettori, che lamentavano rallentamenti per accedere ai servizi delle prestazioni per coronavirus
  4. diverse persone segnalano che entrando nel sito sono visibili in chiaro i dati personali degli altri utenti
  5. alle 13.30 l’Inps chiude il sito
  6. Garante della privacy: “Questo data breach è un fatto gravissimo, siamo molto preoccupati”
  7. Presidente dell’Inps Pasquale Tridico: “Abbiamo ricevuto nei giorni scorsi, e anche stamattina, violenti attacchi hacker
  8. Alle 18 il sito riapre ma con ancora evidenti problemi
  9. Inps ha deciso di aprire il portale per fasce orarie a seconda degli utenti, risolvendo la questione
  10. Anche il premier Giuseppe Conte sostiene l’ipotesi dell’attacco hacker
sito inps

Attacchi hacker? Perché sembra tutta una scusa

La prima cosa che stona con tutto questo è quella relativa al data breach. Diversi utenti che entravano nel sito con il proprio account venivano in realtà reindirizzati alla pagina di altri utenti, mostrando loro in chiaro i dati personali di queste persone sconosciute.

Il caso è talmente grave che il garante della privacy si è subito allarmato, dichiarando che “Abbiamo immediatamente preso contatto con l’Inps e avvieremo i primi accertamenti per verificare se possa essersi trattato di un problema legato alla progettazione del sistema o se si tratti invece di una problematica di portata più ampia. Intanto è di assoluta urgenza che l’Inps chiuda la falla e metta in sicurezza i dati”.

La giustificazione da parte di Tridico (presidente Inps), riportata poi anche dal premier Conte, è stata quella dell’attacco hacker. Le cose che insospettiscono sono diverse:

  • né noi né Tridico né IlSole24Ore possiamo sapere se si sia trattato o meno di attacco hacker (ad ora), ma il fatto che anche il premier Conte abbia subito utilizzato questa giustificazione senza avere prove certe insospettisce non poco;
  • solitamente gli attacchi hacker non fanno in modo che altri possano entrare nelle pagine di altri utenti visualizzandone i dati personali. Al massimo sono gli hacker (o meglio, i cracker, leggete sotto per questa distinzione importante) a prelevare questi dati;
  • quando avviene un attacco hacker così importante viene rivendicato dagli autori (ovviamente anonimi) vista l’importanza e la grandezza dell’operazione. Questo non è avvenuto, anzi i possibili indiziati si sono anche dovuti scomodare dopo le dichiarazioni di Conte, per chiarire che nessuno di loro ha messo mano sul sito dell’Inps (vedi dichiarazione di Anonymous);
  • il sito era stato fatto in modo a dir poco grossolano come hanno mostrato vari utenti (e infatti bastava dare un’occhiata al codice per capirlo);
  • lo stesso presidente dell’Inps ha poi ammesso che c’è stato un picco di traffico, quindi il problema sembra legato a questo aspetto (e al fatto che il sito sembra essere stato fatto “con i piedi”).

La Fake News del governo italiano

Anonymous italia

https://twitter.com/Anon_ITA/status/1245363614061600769

Non sono mancate ovviamente le prese in giro a livello mondiale, giusto per dare quel tocco in più che mancava alla già ottima reputazione italiana in campo informatico :)

“L’ignoranza informatica nel 2020 non è ammessa”

Consentitemi poi un appunto, perché l’ignoranza della legge non è ammessa ma nemmeno quella informatica nel 2020 dovrebbe esserla, e vale anche e soprattutto per le istituzioni che dovrebbero invece dare l’esempio:

  • l’hacker è quella persona contraddistinta da una cultura e un’etica legata all’idea del software libero;
  • il cracker (il cosiddetto pirata informatico in italiano, spesso confuso in maniera totalmente errata con l’hacker) è invece colui che è in grado di introdursi in reti di computer, senza autorizzazione, allo scopo di danneggiare un sistema informatico; può essere spinto da varie motivazioni, inclusa quella del guadagno economico attraverso operazioni di spionaggio industriale o frodi.

Ovviamente l’Inps può sempre dimostrare il fatto che l’attacco hacker (cracker) sia davvero avvenuto nella giornata del 1 aprile. Portando però, questa volta, una documentazione come prova.

By

Francesco Pistore

Pubblicato in

Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.