Bonus 600 euro: il sito INPS viola la privacy. Accedendo si visualizzano i profili di altri contribuenti

Bonus 600 euro: il sito INPS viola la privacy. Accedendo si visualizzano i profili di altri contribuenti

Il sito dell'INPS, preso d'assalto per ottenere il bonus di 600 euro dedicato alle partite IVA, ha dei seri problemi di sicurezza. Molti utenti segnalano che dopo il login hanno avuto accesso al profilo di altre persone

di pubblicata il , alle 12:41 nel canale Security
Smart Working
 
123 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Gabro_8201 Aprile 2020, 15:27 #21
Originariamente inviato da: R@nda
Scusate la domanda banale, non sono stato lì a guardare troppo poichè comunque non rientro nella categoria.

Ma come fanno a stabilire che in coda ci sia gente che ne ha bisogno realmente?
Spero ci abbiano pensato, altrimenti prevedo una lunga fila, di gioiellieri e dentisti bisognosi (è un esempio) o di vari furboni.


Ci sono delle categorie, io sono nella categoria AGO facendo parte di ristorazione. Non credo c'entrino i dentisti o gioiellieri.
WarDuck01 Aprile 2020, 15:29 #22
Originariamente inviato da: Jack.Mauro
Tutti i principali linguaggi di sviluppo lato server (.net, php, java, ecc) utilizzano le sessioni, ovvero l'accoppiata di un cookie con un'area di memoria/file/database in cui memorizzare dati lato server e "condividerli" tra una pagina e l'altra del sito.
In alcuni casi è possibile che si imputtani l'associazione tra cookie e sessione, incrociando quindi le richieste di un utente con quelle di un altro....


È molto molto molto raro, specialmente se il server è configurato bene.

In PHP ad esempio l''id di sessione viene generato come hash tra indirizzo IP, timestamp di creazione e una coppia di numeri random presi da un generatore interno di PHP e da un pool tipo /dev/random.

Quindi anche se fossero tutti dietro NAT (stesso IP) e se tutti "contemporaneamente" (stesso timestamp) provassero a connettersi hai comunque una certa randomicità.

L'hash nelle vecchie versioni era di default MD5 (128 bit)/SHA1 (160 bit). Credo che dalla 7 in poi puoi configurare anche SHA256 o SHA512.

Per questi ultimi due in particolare la probabilità di collisione con due input diversi è praticamente trascurabile.

Credo che una cosa analoga facciano altri run-time server side.

In ogni caso difficilmente avresti una collisione anche se avessi milioni di persone connesse (anche perché come farebbero altrimenti Facebook/Google/Amazon/Netflix e co?).
zappy01 Aprile 2020, 15:34 #23
Originariamente inviato da: Gabro_82
Madooo è vero!
[paranoia=on]

scusa, mo t'ho fatto star male

però se si incasina un sistema informatico il risultato può essere la qualunque.
(magari x l'inps adesso sei diventato femmina )
zappy01 Aprile 2020, 15:36 #24
Originariamente inviato da: R@nda
Scusate la domanda banale, non sono stato lì a guardare troppo poichè comunque non rientro nella categoria.

Ma come fanno a stabilire che in coda ci sia gente che ne ha bisogno realmente?
Spero ci abbiano pensato, altrimenti prevedo una lunga fila di gioiellieri e dentisti bisognosi (è un esempio) o di vari furboni.


figurati che una politica furbacchiona aveva perentoriamente proposto "1000 euro immediati sul conto di chi ne fa richiesta, basta con la burocrazia!!"...
zappy01 Aprile 2020, 15:38 #25
Originariamente inviato da: WarDuck
...In PHP ad esempio l''id di sessione viene generato come hash tra indirizzo IP, timestamp di creazione e una coppia di numeri random presi da un generatore interno di PHP e da un pool tipo /dev/random....


che l'hash sia univoco ci posso credere, ma se si incasina la tabella che li associa all'utente/cookie?
sempre pour parler, non ho la minima competenza in materia...
Saturn01 Aprile 2020, 15:39 #26
Originariamente inviato da: zappy
figurati che una politica furbacchiona aveva perentoriamente proposto "1000 euro immediati sul conto di chi ne fa richiesta, basta con la burocrazia!!"...


Cari (nel senso che ci costano un rene ogni mese) vecchi politici e le loro "promesse" fasulle...

...si, 1000€ immediati e una bella fetta di posteriore !

Mettiamoci in testa che da questa crisi usciranno soltanto quelli che hanno le spalle larghe, in grado di reggere il micidiale colpo ricevuto.

Sarò catastrofico ma le vedo così....
zappy01 Aprile 2020, 15:42 #27
Originariamente inviato da: Saturn
Cari (nel senso che ci costano un rene ogni mese) vecchi politici e le loro "promesse" fasulle...

...si, 1000€ immediati e una bella fetta di posteriore !

Mettiamoci in testa che da questa crisi usciranno soltanto quelli che hanno le spalle larghe, in grado di reggere il micidiale colpo ricevuto.

Sarò catastrofico ma le vedo così....

pagasse lei...

cmq è da vedere. si, certi settori sono colpiti duramente (ristorazione/turismo x es.), ma molti altri alla fine non penso accuseranno un gran colpo, anche perchè in realtà pare che non sia poi proprio tutto chiuso, anzi...

di certo i settori a minor valore aggiunto patiscono di più, ma che l'italia sia troppo propensa a sviluppare settori di scarso "valore" non è cosa nuova.
per dire, se vuoi un iPhone o un processore o un pannello LCD o un satellite per telecomunicazioni e la fabbrica è chiusa aspetti. se vuoi un pizza, beh, ne fai a meno, te la fai da solo, o la pigli da un'altra parte...
rollers01 Aprile 2020, 15:48 #28
Ciao
bisogna anche ricordarsi della politica dei tagli portata avanti negli anni passati.
Decine di centri inps chiusi ecc. non penso che sia solo colpa di chi ora in un momento che direi terribile sia il presidente o il resp. tecnico o semplice dipendente.
Per quello che posso dire visto che non sono un lav. autonomo, ho vissuto la stessa situazione quando fu lanciato il reddito di cittadinaza, code infinite ai CAF, Poste, ecc.
Poi siamo in italy paese di furboni in tutti i sensi....

Morale, personalmente degrado tutto ad una pura polemica(di convenienza) solo politica.
Come prima piu' di prima ti sput....ò (e con l'arrivo del virus nè volata a tonnellate di m...)
bobby1001 Aprile 2020, 15:56 #29
Originariamente inviato da: zappy
scusa, mo t'ho fatto star male

però se si incasina un sistema informatico il risultato può essere la qualunque.
(magari x l'inps adesso sei diventato femmina )


anche io all' 1 ero sul sito in modalità F5 [GOD]

andrà tutto bene
Opteranium01 Aprile 2020, 16:05 #30
Originariamente inviato da: Jack.Mauro
Tutti i principali linguaggi di sviluppo lato server (.net, php, java, ecc) utilizzano le sessioni, ovvero l'accoppiata di un cookie con un'area di memoria/file/database in cui memorizzare dati lato server e "condividerli" tra una pagina e l'altra del sito.
In alcuni casi è possibile che si imputtani l'associazione tra cookie e sessione, incrociando quindi le richieste di un utente con quelle di un altro....

grazie della spiegazione. Non me ne intendo ma sembra un problema non da poco. Anche il sito della mia banca potrebbe funzionare così? Spero proprio di no..

Allora google mail, per dirne uno, come fa a gestire i triliardi di accessi al giorno senza battere ciglio?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^