INPS, il riassunto del disastro
Cosa è successo al sito dell'INPS il 1° aprile? Sono stati davvero gli hacker o le motivazioni del collasso del sistema e del leak di dati sono altre? E quanto ci è costata l'infrastruttura informatica del'istituto? Proviamo a dare una risposta
di Alberto Falchi pubblicata il 03 Aprile 2020, alle 17:41 nel canale InnovazioneSmart Working
"Sono stati gli hacker". Una frase che speravamo di non sentire più ripetere, soprattutto dagli esponenti della politica, in particolare dal premier Giuseppe Conte, che probabilmente di informatica ne capisce quando noi ne capiamo di ingegneria nucleare, ma che a nostro avviso dovrebbe essere più cauto nell'addossare a fantomatici criminali informatici i disastri dovuti invece all'imperizia di chi il sito INPS lo gestisce.
"Sono stati gli hacker" è un po' come "mi hanno hackerato l'account", la tipica affermazione di chi le ha sparate grosse sui social e poi, resosi conto della sciocchezza, cerca di rimediare grossolanamente. Una scusa paragonabile al cane che ha mangiato il compito dello studente poco volenteroso.
Ma cosa è successo esattamente al sito INPS e perché? Proviamo a capirlo.
Down e data breach INPS: ecco perché è improbabile che siano stati gli hacker
Il 1° aprile, Edge9 ha pubblicato una guida su come ottenere il bonus di 600 euro stanziato dal governo e destinato agli autonomi. Lo abbiamo fatto incontrando molte difficoltà: il sito funzionava a singhiozzo, risultava a tratti inaccessibile e, in alcuni casi, consentiva sì l'accesso al sistema, ma visualizzando il profilo di altri utenti, fortunatamente non permettendo di modificarne i dati.
Un data breach gravissimo, che ha attirato l'attenzione del Garante della Privacy, che ha già avviato un'istruttoria per valutare l’adeguatezza delle contromisure adottate e degli interventi necessari a tutelare i diritti degli utenti.
Perché alla storia degli hacker non ci crede nemmeno il Garante, e ne ha buoni motivi. Sia chiaro, non è che gli hacker non esistano, ma è molto difficile credere che un hacker investa tempo e risorse per far apparire a caso dati di altri utenti. Gli hacker i dati li sottraggono, se intenzionati a monetizzare dalle loro azioni, oppure mettono in crisi i siti, se vogliono fare attivismo politico. Ma in quest'ultimo caso, non si nascondono, anzi: lo annunciano fieramente, altrimenti le loro azioni perdono completamente di significato. Non è un caso che Anonymous Italia abbia twittato questo messaggio:
Caro @INPS_it, vorremmo prenderci il merito di aver buttato giù il vostro sito web, ma la verità è che siete talmente incapaci che avete fatto tutto da soli, togliendoci il divertimento! #INPS #Hacked #Anonymous #LulzSecITA #GDPR pic.twitter.com/Cgz8PWYUTC
— Anonymous Italia (@Anon_ITA) April 1, 2020
Ma allora, se non sono stati gli hacker, cosa è successo? Semplicemente quello che era prevedibile: il sito INPS è stato subissato di accessi da parte dei tanti professionisti che si affrettavano a richiedere i famosi 600 euro. Una platea di oltre 5 milioni di persone, fra artigiani, commercianti, partite IVA, co.co.co e via dicendo. Persone che sono corse a richiedere l'indennizzo il prima possibile, sia perché per molti di loro la situazione economica è collassata con la chiusura delle attività, sia perché spinti dalla comunicazione ambigua apparsa sul sito dell'INPS stessa - e poi cancellata - che avvertiva che i fondi sarebbero stati elargiti sino all'esaurimento delle risorse.
"In ragione di quanto sopra, l’INPS riconosce l’indennità in base all'ordine cronologico di presentazione delle domande", appariva sul sito INPS, e a quel punto a nulla sono servite le rassicurazioni di Pasquale Tridico, il quale garantiva che non ci sarebbe stato alcun clic-day: la gente si è affrettata. Come dargli torto?
E il sito del'INPS a quanto pare non era strutturato per gestire una simile mole di richieste contemporaneamente. Basta questo a spiegare il motivo del down, senza tirare in ballo fantomatici hacker. Questo però non spiega come mai a molti è capitato di visualizzare il profilo di altri contribuenti.
A spiegare cosa probabilmente è successo ci pensa Matteo GP Flora, Hacker e Professore a Contratto in Corporate Reputation e Storytelling presso la Facoltà di Economia dell’Università di Pavia.
L'ipotesi è che per cercare di alleggerire il carico dei server, siano stati implementati in fretta e furia dei meccanismi di caching. Integrati però malamente, tanto che nella cache sono finite anche sessioni private, esposte poi pubblicamente ad altri utenti. Un'ipotesi sposata anche da Riccardo Meggiato, giornalista ed esperto di analisi forense, che su Wired.it scrive: "in questo clamoroso disservizio, frutto di una tempesta perfetta, è molto più probabile l’errore umano che l’attacco hacker di cui hanno parlato sia il governo che l’ente previdenziale".
Quanto (ci) è costato il sistema informatico di lNPS?
Una situazione tanto surreale non può che essere terreno fertile per la nascita di meme, che non sono tardati ad arrivare. Del resto, quando il presidente INPS sostiene che "stiamo ricevendo 100 domande al secondo. Una cosa mai vista sui sistemi dell'Inps che stanno reggendo, sebbene gli intasamenti sono inevitabili con questi numeri" è inevitabile il paragone con siti come Pornhub, che già nel 2017 dichiarava di riceverne 700 di sessioni al secondo. Sia chiaro, è un paragone volutamente azzardato, ma il sito pornografico più famoso al mondo (il nono sito più visitato al mondo) non si è fatto sfuggire l'occasione di rispondere :
.@INPS_it vorremmo offrirvi aiuto per potenziare il vostro sito grazie ai nostri server, contattateci
— Pornhub ARIA (@Pornhub) April 1, 2020
Però la domanda rimane. Quanto è costata ai contribuenti l'infrastruttura informatica di INPS? Circa 336 milioni dal 2005 al 2018. Tanti, pochi? Non sta a noi dirlo, ma il risultato è sotto gli occhi di tutti.
Bisogna considerare poi che la violazione della privacy potrebbe costare cara all'istituzione, una multa sino a 20 milioni per la violazione del GDPR. Verrà comminata? Non possiamo saperlo, ovviamente, ma c'è un fatto curioso da evidenziare: a quanto riporta Dagospia, al momento non esiste un Responsabile della Protezione dei dati.
"Peccato soprattutto che, nonostante il garante nazionale della privacy non abbia ritenuto di denunciare la cosa, all'appuntamento del 1 Aprile l'INPS si sia presentato senza il suo garante della privacy. Proprio così. Alla domanda chi è il garante della privacy dell'INPS, la risposta è: Nessuno. Ce n'era uno il cui incarico è scaduto, e l'Istituto, meglio il suo responsabile dell'informatica, se l'è presa comoda. Il sostituto arriverà soltanto tra una settimana perché ancora ricopre un altro incarico".
Se fosse confermato quando detto da Dagospia, la mancanza di un responsabile sarebbe grave, dal momento che si rischia di non poter individuare un reale responsabile della vicenda. Nessuno, insomma, pagherà sulla sua pelle per quanto è successo.
Recensione Zenfone 11 Ultra: il flagship ASUS ritorna a essere un 'padellone'
Appian: non solo low code. La missione è l’ottimizzazione dei processi con l'IA
Lenovo ThinkVision 3D 27, la steroscopia senza occhialini 
Tutte le offerte Gaming Week Amazon: c'è un po' di tutto! TV super scontati, schede video, SSD e molto altro (aggiornamenti continui)
999€ con NVIDIA RTX 4060! Questo portatile gaming HP è super, ha anche Intel Core i5-13500H e 16GB di RAM!
Speciale offerte hardware per la Amazon Gaming Week: tutte le memorie e le schede video in offerta
Amazon Gaming Week 2024: tutte le offerte sui monitor Samsung Odyssey, AOC, ASUS ROG e LG UltraGear
Apple AirPods 101€, le Pro a soli 224€! Ma occhio anche alle cuffie Beats scontate fino al 30% reale
JAXA SLIM funziona ancora sulla superficie della Luna, superata la terza notte
NASA Curiosity ha rilevato del metano che filtra dalla superficie del cratere Gale su Marte
La CNSA si prepara al lancio della missione Chang'e-6 per riportare campioni dal lato nascosto della Luna
Appuntamento a mezzanotte: lunedì 29 parte Amazon Gaming Week 2024 con tante offerte su monitor, TV, portatili, schede video e accessori per il gaming
Occhio a questi due droni in offerta su Amazon (uno DJI): si possono comprare a soli 249 e 279 euro, e non richiedono il patentino
MS-DOS 4.0, il rilascio open source non è piaciuto a tutti. L'hanno mutilato?
Il ministro Urso è sicuro: l'Italia al centro dei semiconduttori europei. Nuovi annunci in arrivo
AMD, emergono presunte specifiche della GPU RDNA 4 top di gamma che sarebbe stata cancellata
CPU AMD EPYC 4004 compatibili con socket AM5 in arrivo? Diversi modelli in vendita su eBay
34 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoa raccontare cosa è successo sono stati la dirigenza INPS
ovvero la catena che va da chi controlla a chi decide in merito,
e in secondo grado, forse, a chi amministrava il sito, o meglio le società
che l'hanno in gestione.
accusare di incompetenza, che tra l'altro non è obbligato ad avere,
chi è stato portavoce di notizie date da altri,
in forma fiduciaria, a mio avviso è quantomeno scorretto.
Chissà se fra i nomi sono venuti fuori questi benestanti ingordi..... nonostante la crisi,certi italiani non cambiano mai.
idem, poi il paragone con youporn, netflix e affini è senza senso, sono architetture nuove, basate sul cloud e pornhub ad esempio ha il 99% delle utenze anonime, ovvero non ha bisogno di nessuna autenticazione per vedere i video. I video che poi sono un cdn esterno, altra facilitazione.
Inps è monolitico, non possono per motivi legali togliere velocemente sistemi che sono stati pagati e sono funzionanti, chiaramente in atto c'è un passaggio al cloud e trasformazione di tutti i servizi e aggiornamento degli stessi ma era ovvio che una pandemia non è un evento programmato e nessuno era pronto per il primo aprile.
Chi lavora, come me, nel settore sa che per mettere su un nuovo sistema ci vogliono anni e non un mese, tutte le strutture statali e parastatali sono in aggiornamento, chi più indietro e chi più avanti ma anche molti istituti bancari e altri privati. Ho lavorato in posti importanti dove tengono su ancora script in cobol e terminali con diplay a fosfori verdi.
Il problema è strutturale e finchè vedremo nei posti pubblici i dirigenti statali che giocano al solitario e non chi programma a lungo termine non ci saranno grandi cambiamenti.
Che "è un paragone volutamente azzardato" l'abbiamo specificato ;-)
Rimane il fatto che il sistema non ha retto, fatto prevedibile, soprattutto quando sino a poco prima sul sito INPS era presente una news che - tra le righe - incitava a sbrigarsi, che una volta esauriti i fondi gli altri si sarebbero attaccati.
Esatto. Ed è proprio questo il succo del discorso. 336 milioni spesi in 15 anni e il risultato è questo. Non tanto il down, sia chiaro, quello ci può stare, ma il fatto che i dati dei contribuenti siano stati esposti. Un fatto gravissimo, come dimostra l'intervento del Garante della Privacy. E la risposta "sono stati gli hacker" non è minimamente accettabile. Nemmeno in un momento difficile come questo.
~30000 blade (
Chissà se fra i nomi sono venuti fuori questi benestanti ingordi..... nonostante la crisi,certi italiani non cambiano mai.
Essendoci il limite di reddito a 35/50k dubito che molti milionari ne abbiano diritto
Ma ragazzi, ancora non vi siete accorti che siamo in Italia ?!!!!!
Eh, dipende da cosa dichiarano e cosa non dichiarano....
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".