Smart Working
Bonus 600 euro: il sito INPS viola la privacy. Accedendo si visualizzano i profili di altri contribuenti
di Redazione pubblicata il 01 Aprile 2020, alle 12:41 nel canale Security
Il sito dell'INPS, preso d'assalto per ottenere il bonus di 600 euro dedicato alle partite IVA, ha dei seri problemi di sicurezza. Molti utenti segnalano che dopo il login hanno avuto accesso al profilo di altre persone
LG TONE Free T90S: gli auricolari con la disinfezione UV cambiano forma
Kindle Paperwhite 2024: l'ereader di riferimento si rinnova ancora
Recensione LEGO Horizon Adventures: un'avventura costruita per emozionare 
Half-Life 2 20mo anniversario: un documentario di 2 ore, miglioramenti e versione originale gratuita
Il prototipo del drone NASA Dragonfly, che volerà su Titano, è stato mostrato in un nuovo video
I migliori sconti del Weekend Amazon: prezzi Black Friday su Apple, smartphone, portatili, robot e molto altro!
113 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoperchè andare in ufficio ? io ho fatto tutto online, anche la trasformazione del pin da normale a dispositivo.
In ogni caso, riporto:
https://www.investireoggi.it/fisco/b...-fare-domanda/
“Riapriremo il sito con una modalità diversa: la mattina, dalle ore 8 alle ore 16, a patronati e consulenti, dalle ore 16 in poi anche ai cittadini“ – spiega Tridico
Avviso di stamattina ore 9
600 euro senza criterio sanno tanto di mancetta elettorale.
Per il rasoio di Occam è più facile pensare che il problema sia stato solo di caching che di backend. Anche perché non è che sviluppi una patch e cambi il codice in produzione di un sistema così complesso alle 2 di notte. Sarebbe ancora più da criminali farlo.
Il sistema informativo di inps è un puttanaio di sistemi diversi tenuti su con lo sputo (anche se sei un profano te ne accorgi perché alcune pagine sono .jsp (java), altre ASP), chissà quante eccezioni avrebbero dovuto aggiungere al layer di caching per farlo funzionare per bene.
Che poi c'è da dire che la parte più stressata è anche quella post autenticazione, quindi la pezza che hanno provato a mettere non aveva alcun senso dato il sistema.
C'è una catena di comando. Il culo lo faranno a lui, che poi lo farà ai sottoposti, fino ad arrivare al povero stagista sottopagato che verrà licenziato anche se magari era uno junior a cui han passato il merdone.
Esattamente. Il sistema dell'INPS è un casino bestiale.
Il portale è fatto con Liferay, i servizi di backend sono in parte java, in parte .net e, come hai giustamente intuito, si regge (male) con lo sputo. Hanno cercato di metterci una pezza negli ultimi giorni, cosa ovviamente impossibile, ed ecco che è successo.
600 euro senza criterio sanno tanto di mancetta elettorale.
Mi sembra di ricordare, correggetemi se sbaglio, che per richiederlo devi aver fatturato il 33% in meno dell'anno precedente nei primi tre mesi del 2020.
Cose all'Italiana insomma. Anche il discorso di dividere per lettere o per categorie.
Se ci fosse un corso universitario per descrivere ciò lo chiamerebbero "Burocrazia applicata ad Internet", sottotitolo: "come rendere internet uno strumento inefficace".
@WarSide: grazie per la delucidazione sulla questione caching, immaginavo che fosse qualche casino loro interno piuttosto che i meccanismi di sessione.
Per la cronaca sono stato poco fa a guardare, ho inviato la domanda ma non c'è nessun blocco per gli utenti normali come invece ci dovrebbe essere
Ipotizzo perché nella PA chiunque ha il diritto di fare una domanda di qualsiasi tipo. Poi spetta all'ente di turno bocciarla o meno.
Beh dai sul forum di HWUpgrade almeno questo ci sta
Tempo fa in una università italiana un prof ha commissionato il penetration testing al sistema di gestione universitario (tasse, prenotazione esami e via discorrendo).
Ebbene, si scoprì che praticamente era possibile non solo accedere a dati non propri, ma anche verbalizzare esami (ormai si fa in maniera elettronca) e marcare come eseguito il pagamento delle tasse.
Senza contare che le password venivano "troncate" ad 8 caratteri (senza dare nessun avviso all'utente, ignaro della cosa)
Tra l'altro ora che mi sovviene, i CAF non chiedono le credenziali e fanno la domanda a nome tuo col tuo login?
Prima era diverso ma da un po' hanno cambiato se non sbaglio.
Sarebbe impossibile risalire... sembra più una moral suasion che altro.
No hanno delle credenziali speciali, ma ti fanno firmare un mandato per poter far la pratica a nome tuo (questo è quello che avviene normalmente con naspi red richieste cu etc )
.....
Non vi sto a dire quanti zeri ci sono nei contratti stipulati "in emergenza" con akamai e CDN simili in questi casi per non infierire.
....
Quello che mi fa incazzare è che adesso, tempo qualche giorno, tutti dimenticheranno quello che è successo e vivranno tutti felici e contenti.
mi sembra che tridico sia stato aspramente criticato anche da chi l'ha messo lì.
posto che evidentemente "il rottame" risale ad epoche ben antecedenti a Tridico e forse anche a Boeri, può anche darsi che non passi tutto a tarallucci e vino...
almeno spero.
la politica dovrebbe avere il coraggio di fare pesanti pulizie in moti posti, tagli di stipendio e licenziamenti. Purtroppo richiede molto tempo e fortissima e stabile maggioranza x cui la vedo dura anche se da parte di alcuni ci fosse la volontà.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".