Bonus 600 euro: il sito INPS viola la privacy. Accedendo si visualizzano i profili di altri contribuenti

Bonus 600 euro: il sito INPS viola la privacy. Accedendo si visualizzano i profili di altri contribuenti

Il sito dell'INPS, preso d'assalto per ottenere il bonus di 600 euro dedicato alle partite IVA, ha dei seri problemi di sicurezza. Molti utenti segnalano che dopo il login hanno avuto accesso al profilo di altre persone

di pubblicata il , alle 12:41 nel canale Security
Smart Working
 

Come facilmente prevedibile, il sito INPS non ha retto il carico delle richieste. A partire da oggi, 1° aprile, è possibile fare richiesta per il bonus di 600 destinato a professionisti e artigiani e inevitabilmente milioni di italiani lo hanno preso d'assalto a partire dalle primissime ore del mattino. Alcuni sono riusciti, dopo numerosi tentativi a vuoto, a completare la procedura per richiedere l'indennizzo, altri invece ci stanno ancora provando, spesso senza successo. 
Questo era oggettivamente prevedibile: le partite IVA che hanno diritto al bonus di 600 euro sono svariati milioni ed era quasi scontato che le tante richieste in contemporanea (sino a 100 al secondo, dichiara il presidente dell'INPS Pasquale Tridico) avrebbero mandato il sito in sovraccarico. Quello che non era prevedibile erano i problemi della privacy: come segnalano moltissimi utenti, in parecchi casi quando si usano le proprie credenziali, si accede al profilo di altri contribuenti.

INPS: privacy violata a causa dei problemi tecnici

Lo scenario è agghiacciante, dal punto di vista della privacy: tentando di accedere con le proprie credenziali al sito dell'INPS, molti segnalano di essere entrati nel profilo di altre persone. Non si tratta di casi sporadici, a giudicare dai commenti in rete.

INPSproblema Privacy

Su Twitter le segnalazioni sono numerose e l'INPS sembra a conoscenza del problema, come specificato in alcune risposte proveniente dall'account ufficiale dell'istituzione. 

 

Si tratta di una violazione molto grave della privacy dei contribuenti e, per quanto involontaria, non è un problema da prendere sottogamba. A quanto sembra, è possibile solo visualizzare i dati e non modificarli. Non che sia una grande consolazione, in ogni caso.

Nonostante siano più di uno i profili ai quali è possibile acceder per sbaglio, quello che torna più frequentemente sembra essere l'account di tal Luciano Vangone, ormai diventato suo malgrado un fenomeno della rete, protagonista di hashtag come #LUCIANOVANGONE e #JeSuisLucianoVangone

AGGIORNAMENTO 1/4/2020 15:00

A quanto dichiara il premier Giuseppe Conte, i problemi del sito INPS sono "legati ad attacchi hacker". La dichiarazione è avvenuta durante un vertice a Palazzo Chigi, durante il quale i leader dell'opposizione hanno duramente contestato il premier per i problemi riscontrati sul sito INPS. 

Secondo quanto riporta ANSA, la vicepresidente dell'Inps Maria Luisa Gnecchi ha sottolineato che il disguido è durato cinque minuti. Un'affermazione che assolutamente non corrisponde al vero.
Il problema è stato riscontrato personalmente dalla redazione di Edge9 anche questa notte, attorno alle 2:30 del mattino. Inizialmente avevamo pensato a un caso sporadico, dovuto agli aggiornamenti del sito, e avevamo ipotizzato che si trattasse di account di test.

Solo questa mattina abbiamo avuto modo di realizzare che il problema non era isolato e che numerosi contribuenti hanno sperimentato la stessa situazione. 

AGGIORNAMENTO 1/4/2020 15:45

Anche il Garante della privacy si è espresso sulla questione relativa al data breach sul sito INPS: 

"Siamo molto preoccupati per questo gravissimo data breach" - ha dichiarato Antonello Soro, Garante Privacy - "Abbiamo immediatamente preso contatto con l'Inps e avvieremo i primi accertamenti per verificare se possa essersi trattato di un problema legato alla progettazione del sistema o se si tratti invece di una problematica di portata più ampia. Intanto è di assoluta urgenza che l'Inps chiuda la falla e metta in sicurezza i dati''. Il Garante prosegue specificando che ''Quella della mancanza di sicurezza delle banche dati e dei siti delle amministrazioni pubbliche è una questione che si ripropone costantemente, segno di una ancora insufficiente cultura della protezione dati nel nostro Paese''.


123 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
bagnino8901 Aprile 2020, 13:09 #1
La digitalizzazione in Italia:

Che vergogna... I vertici dell'INPS sarebbero da licenziare, senza dargli la pensione, però.
Jack.Mauro01 Aprile 2020, 13:16 #2
Certo che per incasinarsi la tabella delle sessioni, il sito deve aver avuto veramente tante ma tante visite......

Fossi il gestore del sito spegnerei tutto e farei una bella pulizia prima di riaccendere...
dirac_sea01 Aprile 2020, 13:25 #3
Originariamente inviato da: Jack.Mauro
Certo che per incasinarsi la tabella delle sessioni, il sito deve aver avuto veramente tante ma tante visite......

Fossi il gestore del sito spegnerei tutto e farei una bella pulizia prima di riaccendere...

Hehe, è un attacco su due fronti quello che li ha messi in crisi. Da una parte l'esercito dei veri disperati. Dall'altro quello dei parassiti perennemente alla ricerca di sostentamento e abilissimi nello sfruttare le occasioni offerte.
Originariamente inviato da: bagnino89
Che vergogna... I vertici dell'INPS sarebbero da licenziare, senza dargli la pensione, però.


Invece non saranno licenziati ma riceveranno un encomio e forse pure un bonus per aver lavorato in questo periodo, e la pensione naturalmente la percepiranno e sarà pure bella robusta, alla facciaccia nostra
Darkon01 Aprile 2020, 13:25 #4
Originariamente inviato da: bagnino89
La digitalizzazione in Italia:

Che vergogna... I vertici dell'INPS sarebbero da licenziare, senza dargli la pensione, però.


Ma che vuoi che c'entrino i vertici dell'INPS???

Se anche fossero persone competenti questi servizi vengono affidati con gara a ditte esterne che realizzano il software e la manutenzione. Detto ciò non fa notizia perché non è così evidente ma di falle di questo tipo ne ha anche la tua banca.

Dici che non so qual è? Non importa... perché semplicemente è così per tutte. Poi non te ne accorgi ripeto ma rimane il fatto che la privacy vera è praticamente irraggiungibile così come è impossibile il software perfetto senza nessun bug.
Silent Bob01 Aprile 2020, 13:27 #5
io so solo che avendo aiutato mio padre spesso ad entrarci, la grafica attuale che ha il sito dell'inps è uno schifo.

Prima era molto più semplice e pratico cercare quel che ti serve, invece hanno fatto questa miglioria grafica che è un bordello è ci vuole un pò per prenderci la mano.

Insomma, già un lavoro da schifo in più il problema di privacy, con molti che ne avranno aprofittato per impicciarsi degli affari degli altri.
Opteranium01 Aprile 2020, 13:28 #6
Com'è possibile che un'elevato traffico vada a sputtanare l'autenticazione? Al massimo non dovrebbe farti entrare, ma entrare su profili altrui.. boh, mi sembra assurdo
s-y01 Aprile 2020, 13:33 #7
io stamattina presto fatto tutto in 15 min
se ci provo altre 100 volte non ci riesco

ad ogni modo è anche l'effetto della comunicazione equivoca... fino a ieri pomeriggio indicavano che per la graduatoria incideva anche l'ordine delle richieste, aspetto poi smentito solo a poche ore dall'inizio, che non è difficile immaginare abbia lasciato incertezza, se poi ci si aggiunge la nostra 'eh ma metti che...' frittata fatta

ovviamente il tutto al netto della evidente inadeguatezza dell'infrastruttura

a questo punto ci starebbe anche che annullino tutto cmq. con molto pollame che ancora non ha smesso di sganasciarsi
tallines01 Aprile 2020, 13:34 #8
Aaaaaaanamo bene...............
Jack.Mauro01 Aprile 2020, 13:40 #9
Originariamente inviato da: Opteranium
Com'è possibile che un'elevato traffico vada a sputtanare l'autenticazione? Al massimo non dovrebbe farti entrare, ma entrare su profili altrui.. boh, mi sembra assurdo


Tutti i principali linguaggi di sviluppo lato server (.net, php, java, ecc) utilizzano le sessioni, ovvero l'accoppiata di un cookie con un'area di memoria/file/database in cui memorizzare dati lato server e "condividerli" tra una pagina e l'altra del sito.
In alcuni casi è possibile che si imputtani l'associazione tra cookie e sessione, incrociando quindi le richieste di un utente con quelle di un altro....
AceGranger01 Aprile 2020, 14:06 #10
Originariamente inviato da: s-y
ad ogni modo è anche l'effetto della comunicazione equivoca... fino a ieri pomeriggio indicavano che per la graduatoria incideva anche l'ordine delle richieste, aspetto poi smentito solo a poche ore dall'inizio, che non è difficile immaginare abbia lasciato incertezza, se poi ci si aggiunge la nostra 'eh ma metti che...' frittata fatta


l'INPS non ha mai indicato una cosa del genere e ne lasciato intendere cio, anzi, nell'intervista al presidente dell'INPS di settimana scorsa diceva espressamente che non ci sarebbe stato il click day, che tutte le richieste sarebbero state evase e che nessuno sarebbe rimasto senza.

ma come si sa la popolazione è mediamente stupida e che sarebbe successo cio.

Originariamente inviato da: s-y

ovviamente il tutto al netto della evidente inadeguatezza dell'infrastruttura

a questo punto ci starebbe anche che annullino tutto cmq. con molto pollame che ancora non ha smesso di sganasciarsi


l'infrastruttura non centra un caz, non è inadeguata, hanno solo sbagliato a gestire al situazione.

è IMPENSABILE avere un'infrastruttura parametrata per reggere un picco piu unico che raro come questo; dovevano semplicemente fare come con le pensioni, i primi giorni dividere per cognomi e poi aperto a tutti quelli che non erano riusciti a farlo i primi giorni.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^