Bonus 600 euro: il sito INPS viola la privacy. Accedendo si visualizzano i profili di altri contribuenti

Bonus 600 euro: il sito INPS viola la privacy. Accedendo si visualizzano i profili di altri contribuenti

Il sito dell'INPS, preso d'assalto per ottenere il bonus di 600 euro dedicato alle partite IVA, ha dei seri problemi di sicurezza. Molti utenti segnalano che dopo il login hanno avuto accesso al profilo di altre persone

di pubblicata il , alle 12:41 nel canale Security
Smart Working
 

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

123 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Techie01 Aprile 2020, 14:14 #11
Originariamente inviato da: AceGranger
l'INPS non ha mai indicato una cosa del genere e ne lasciato intendere cio, anzi, nell'intervista al presidente dell'INPS di settimana scorsa diceva espressamente che non ci sarebbe stato il click day, che tutte le richieste sarebbero state evase e che nessuno sarebbe rimasto senza.

ma come si sa la popolazione è mediamente stupida e che sarebbe successo cio.

Certo, ricordo anch'io, la scorsa settimana... purtroppo però ieri sera [I]sul sito dell'INPS stessa [/I]era riportato che sarebbe stato seguito l'ordine cronologico per l'evasione delle domande... aggiungi che c'è un tetto di spesa e fai 2+2.
Poi hanno smentito, ma tu ti fidi di un ente che dirama comunicazioni ufficiali contrastanti a distanza di ore? Io se permetti no, e non mi sento assolutamente stupido per questo.

Originariamente inviato da: AceGranger
l'infrastruttura non centra un caz, non è inadeguata, hanno solo sbagliato a gestire al situazione.

è IMPENSABILE avere un'infrastruttura parametrata per reggere un picco piu unico che raro come questo; dovevano semplicemente fare come con le pensioni, i primi giorni dividere per cognomi e poi aperto a tutti quelli che non erano riusciti a farlo i primi giorni.

E loro ovviamente lo sapevano.
Bastava scalare gli accessi. Come? per lettera (anche sorteggiando la lettera d'inizio se di cognome fai Zurzulo e sei invidioso), per tipo di domanda, per tipologia di richiesta (CAF o privato) come stanno dicendo che faranno adesso.
Ma se sai che l'infrastruttura è tarata su una media e non su un picco e non solo non fai niente per diluirlo ma diffondi informazioni false che rischiano di intensificarlo, beh... fosse stato un mio dipendente a confezionare una meraviglia del genere, si sarebbe trovato l'impronta del mio tacco sul suo gluteo destro e fuori dalla porta per direttissima.
s-y01 Aprile 2020, 14:14 #12
Originariamente inviato da: AceGranger
l'INPS non ha mai indicato una cosa del genere e ne lasciato intendere cio, anzi, nell'intervista al presidente dell'INPS di settimana scorsa diceva espressamente che non ci sarebbe stato il click day, che tutte le richieste sarebbero state evase e che nessuno sarebbe rimasto senza.

ma come si sa la popolazione è mediamente stupida.


in realtà c'era un'indicazione equivoca nelle istruzioni, che è stata rimossa poche ore prima dell'inizio...
senza dubbio molti hanno affollato pensando che ancora contasse, il momento della richiesta...

quanto alla valutazione sulle capacità della popolazione, mettiamo pure che sia così... ma sarebbe un motivo in più per fare particolare attenzione alle comunicazioni...

se poi conta come prova quello che dice il presidente, oggi ha parlato anche di attacchi hacker come causa, per poi lasciar perdere e ammettere che il carico era troppo alto. in altre parole, non mi pare così affidabile, lato dichiarazioni [edit]: forse era l'inverso, cronologicamente, ma il concetto resta [/edit]

l'infrastruttura non centra un caz, non è inadeguata, hanno solo sbagliato a gestire al situazione.


mm, sul problema dei dati personali a uecchia, anche fosse stato causato dal carico, non dovrebbe succedere e basta. sul resto concordo

è IMPENSABILE avere un'infrastruttura parametrata per reggere un picco piu unico che raro come questo; dovevano semplicemente fare come con le pensioni, i primi giorni dividere per cognomi e poi aperto a tutti quelli che non erano riusciti a farlo i primi giorni.
Techie01 Aprile 2020, 14:16 #13
Originariamente inviato da: s-y
*snip*
se poi conta come prova quello che dice il presidente, oggi ha parlato anche di attacchi hacker come causa, per poi lasciar perdere e ammettere che il carico era troppo alto. in altre parole, non mi pare così affidabile, lato dichiarazioni
*snip*


Le cavallette!
WarDuck01 Aprile 2020, 14:42 #14
Originariamente inviato da: AceGranger
l'INPS non ha mai indicato una cosa del genere e ne lasciato intendere cio, anzi, nell'intervista al presidente dell'INPS di settimana scorsa diceva espressamente che non ci sarebbe stato il click day, che tutte le richieste sarebbero state evase e che nessuno sarebbe rimasto senza.

ma come si sa la popolazione è mediamente stupida e che sarebbe successo cio.



l'infrastruttura non centra un caz, non è inadeguata, hanno solo sbagliato a gestire al situazione.

è IMPENSABILE avere un'infrastruttura parametrata per reggere un picco piu unico che raro come questo; dovevano semplicemente fare come con le pensioni, i primi giorni dividere per cognomi e poi aperto a tutti quelli che non erano riusciti a farlo i primi giorni.


Mah, non so esattamente che infrastruttura utilizzino, spero almeno che abbiano messo in piedi una infrastruttura tipo cloud statale.

In tal caso esistono tecniche di elastic scaling per gestire le tante richieste.

Richieste che puoi prevedere quante saranno perché se sei l'INPS ti saresti dovuto fare i tuoi calcoli.

Dopodiché l'incasinamento delle sessioni a me sa tanto di sito progettato male .

Le dichiarazioni ufficiali sono di un attacco hacker

Insomma, alla fine come sempre è colpa degli italiani che sono stupidi perché avrebbero dovuto mettersi in fila come nel più classico degli sportelli INPS

Meglio che mi auto-censuro và
aqua8401 Aprile 2020, 15:13 #15
anche a voi oggi non si apre il sito dell'INPS?











zappy01 Aprile 2020, 15:19 #16
Originariamente inviato da: Jack.Mauro
Tutti i principali linguaggi di sviluppo lato server (.net, php, java, ecc) utilizzano le sessioni, ovvero l'accoppiata di un cookie con un'area di memoria/file/database in cui memorizzare dati lato server e "condividerli" tra una pagina e l'altra del sito.
In alcuni casi è possibile che si imputtani l'associazione tra cookie e sessione, incrociando quindi le richieste di un utente con quelle di un altro....

grazie della spiegazione tecnica anche se generica

Originariamente inviato da: Opteranium
Com'è possibile che un'elevato traffico vada a sputtanare l'autenticazione? Al massimo non dovrebbe farti entrare, ma entrare su profili altrui.. boh, mi sembra assurdo

non ne so un tubo, ma posso immaginarmi sulla base di quanto scritto da Jack uno scenario in cui la tabella che tiene traccia delle persone loggate si riempie (tipo overflow) e quindi viene riscritta a partire dalla prima riga, x cui finisci nella sessione di un altro...
non so eh, ipotizzo solo e NON ho nessuna particolare competenza avanzata di DB e login web.

ovviamente la cosa NON deve succedere ed è gravissimo, e qualche testa dovrebbe saltare.
Gabro_8201 Aprile 2020, 15:20 #17
Credo di essere stato il primo ad accedere all'una di notte.
Praticamente sono stato collegato online circa 15 a refreshare la pagina dedicata,
e all'1 di notte spaccata e stato possibile accedere inserendo l'iban.
Ho anche la ricevuta di avvenuta richiesta, fortunato

Era da prevedere il collasso comunque, assurdo il login negli altri profili.
zappy01 Aprile 2020, 15:22 #18
Originariamente inviato da: Gabro_82
Credo di essere stato il primo ad accedere all'una di notte.
Praticamente sono stato collegato online circa 15 a refreshare la pagina dedicata,
e all'1 di notte spaccata e stato possibile accedere inserendo l'iban.
Ho anche la ricevuta di avvenuta richiesta, fortunato

Era da prevedere il collasso comunque, assurdo il login negli altri profili.


aspetta, magari viene versata sul conto di qualcun altro...
Gabro_8201 Aprile 2020, 15:25 #19
Originariamente inviato da: zappy
aspetta, magari viene versata sul conto di qualcun altro...


Madooo è vero!
[paranoia=on]
R@nda01 Aprile 2020, 15:26 #20
Scusate la domanda banale, non sono stato lì a guardare troppo poichè comunque non rientro nella categoria.

Ma come fanno a stabilire che in coda ci sia gente che ne ha bisogno realmente?
Spero ci abbiano pensato, altrimenti prevedo una lunga fila di gioiellieri e dentisti bisognosi (è un esempio) o di vari furboni.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^