Inside IT

Falla nel sito INPS espone dati sensibili di altri utenti

Sono iniziati i problemi dopo la scorsa mezzanotte, momento dal quale sarebbe stato possibile presentare la domanda all’INPS per ricevere i 600 euro del decreto Cura Italia. E a quanto pare non sono ancora finiti. Quello che preoccupa più di tutto è la questione privacy all’interno della piattaforma online dell’INPS. Ma analizziamo la questione procedendo per gradi.

A partire dalla giornata di oggi sarebbe stato possibile presentare la domanda sul sito dell’INPS per beneficiare del sostegno previsto dal governo con il decreto Cura Italia. Il governo ha previsto per i lavoratori autonomi che abbiano subito riduzione o cessazione della propria attività a causa dell’emergenza Coronavirus un sostegno di 600 euro. E a quanto pare, proprio per questo motivo, c’è stato un boom di richieste di connessione sul sito dell’INPS che lo ha mandato in tilt.

Il presidente dell’INPS Pasquale Tridico, ha annunciato che tra le 01:00 di questa notte e le 08:30 di questa mattina il portale ha ricevuto più di trecento mila domande. Dopo ciò sembra che il sistema abbia iniziato a presentare molti problemi. Attualmente l’INPS sta ancora provvedendo a risolvere assicurando agli utenti che le domande ricevute sono state registrate. Hanno detto inoltre che ci sarà modo di inviare le altre domande nei prossimi giorni.

Come appare la home page del sito INPS alle ore 14

Il principale problema legato al sito dell’INPS è legato alla privacy. Ed è ovviamente il problema più grave riguardante questa situazione, ovviamente molto più del sito fuori uso. Per alcuni momenti di questa mattinata alcuni utenti, effettuando l’accesso con le proprie credenziali, venivano reindirizzati a profili personali di altri utenti registrati. A quanto pare si trattava sempre dei soliti profili, circa una ventina, ai quali si veniva reindirizzati. Molti utenti hanno iniziato a lamentarsi ovviamente anche sui social.

INPS: cosa è successo e quali sono stati i problemi legati alla privacy

Secondo il Garante della Privacy (che ricordiamo che solo pochi giorni fa si è detto favorevole al tracciamento GPS per l’emergenza coronavirus), si è trattato di un data breach. In parole semplici, potrebbe essere stata una violazione dei parametri di sicurezza. Secondo molti utenti, anche professionisti nel settore dello sviluppo e delle infrastrutture di rete, si è trattato di un problema di cache. La cache è un’area di memoria veloce, e ciò che fa pensare a questo problema è il fatto che spesso, andando avanti nella navigazione del profilo, si accedeva ad altri profili.

Alcuni profili ai quali si accedeva autenticandosi con i propri dati sul sito dell’INPS

Probabilmente questo problema è dovuto al fatto che, ricevendo molte richieste, il sito dell’INPS non è riuscito a svuotare in tempo la cache. In questo modo ha permesso agli utenti autenticati successivamente ai primi, di accedere ai loro profili. Altro problema al quale si è pensato (meno verosimile, almeno si spera) è legato al database ed ad una sorta di shift degli identificativi. Questo avrebbe permesso ad alcuni utenti di entrare con profili di altre persone. Il tutto a causa di un associazione errata di ID e nome utente all’interno del DB.

Come veniva visualizzata la home page dell’INPS questa mattina, dopo il crash del sito

L’INPS è al lavoro per risolvere e in un annuncio dell’ANSA dell’ultima ora, il presidente Tridico annuncia che ci sono stati degli attacchi hacker. Anche se i disagi che ci sono stati fanno pensare più ad un problema legato allo sviluppo dell’applicazione, piuttosto che ad un attacco da fonti esterne. Si sta inoltre pensando di scaglionare le rischieste nei prossimi giorni per non trovarsi più in una situazione di questo tipo. L’INPS dichiara che il problema verrà risolto, e soprattutto di avere un po’ di pazienza.

Published by
Gianmarco Porcile