Bonus 600 euro: il sito INPS viola la privacy. Accedendo si visualizzano i profili di altri contribuenti
di Redazione pubblicata il 01 Aprile 2020, alle 12:41 nel canale Security
Il sito dell'INPS, preso d'assalto per ottenere il bonus di 600 euro dedicato alle partite IVA, ha dei seri problemi di sicurezza. Molti utenti segnalano che dopo il login hanno avuto accesso al profilo di altre persone
Come facilmente prevedibile, il sito INPS non ha retto il carico delle richieste. A partire da oggi, 1° aprile, è possibile fare richiesta per il bonus di 600 destinato a professionisti e artigiani e inevitabilmente milioni di italiani lo hanno preso d'assalto a partire dalle primissime ore del mattino. Alcuni sono riusciti, dopo numerosi tentativi a vuoto, a completare la procedura per richiedere l'indennizzo, altri invece ci stanno ancora provando, spesso senza successo.
Questo era oggettivamente prevedibile: le partite IVA che hanno diritto al bonus di 600 euro sono svariati milioni ed era quasi scontato che le tante richieste in contemporanea (sino a 100 al secondo, dichiara il presidente dell'INPS Pasquale Tridico) avrebbero mandato il sito in sovraccarico. Quello che non era prevedibile erano i problemi della privacy: come segnalano moltissimi utenti, in parecchi casi quando si usano le proprie credenziali, si accede al profilo di altri contribuenti.
INPS: privacy violata a causa dei problemi tecnici
Lo scenario è agghiacciante, dal punto di vista della privacy: tentando di accedere con le proprie credenziali al sito dell'INPS, molti segnalano di essere entrati nel profilo di altre persone. Non si tratta di casi sporadici, a giudicare dai commenti in rete.
Su Twitter le segnalazioni sono numerose e l'INPS sembra a conoscenza del problema, come specificato in alcune risposte proveniente dall'account ufficiale dell'istituzione.
Grazie per la segnalazione che giriamo immediatamente a chi si occupa dei servizi online #InpsInAscolto
— INPS (@INPS_it) April 1, 2020
Siamo a conoscenza della problematica, anche grazie alle vostre segnalazioni che sono state girate a chi si occupa dei servizi online. Ci scusiamo per quanto accaduto e stiamo lavorando a una pronta risoluzione. Grazie ancora #InpsInAscolto
— INPS (@INPS_it) April 1, 2020
Si tratta di una violazione molto grave della privacy dei contribuenti e, per quanto involontaria, non è un problema da prendere sottogamba. A quanto sembra, è possibile solo visualizzare i dati e non modificarli. Non che sia una grande consolazione, in ogni caso.
Nonostante siano più di uno i profili ai quali è possibile acceder per sbaglio, quello che torna più frequentemente sembra essere l'account di tal Luciano Vangone, ormai diventato suo malgrado un fenomeno della rete, protagonista di hashtag come #LUCIANOVANGONE e #JeSuisLucianoVangone.
AGGIORNAMENTO 1/4/2020 15:00
A quanto dichiara il premier Giuseppe Conte, i problemi del sito INPS sono "legati ad attacchi hacker". La dichiarazione è avvenuta durante un vertice a Palazzo Chigi, durante il quale i leader dell'opposizione hanno duramente contestato il premier per i problemi riscontrati sul sito INPS.
Secondo quanto riporta ANSA, la vicepresidente dell'Inps Maria Luisa Gnecchi ha sottolineato che il disguido è durato cinque minuti. Un'affermazione che assolutamente non corrisponde al vero.
Il problema è stato riscontrato personalmente dalla redazione di Edge9 anche questa notte, attorno alle 2:30 del mattino. Inizialmente avevamo pensato a un caso sporadico, dovuto agli aggiornamenti del sito, e avevamo ipotizzato che si trattasse di account di test.
Solo questa mattina abbiamo avuto modo di realizzare che il problema non era isolato e che numerosi contribuenti hanno sperimentato la stessa situazione.
AGGIORNAMENTO 1/4/2020 15:45
Anche il Garante della privacy si è espresso sulla questione relativa al data breach sul sito INPS:
"Siamo molto preoccupati per questo gravissimo data breach" - ha dichiarato Antonello Soro, Garante Privacy - "Abbiamo immediatamente preso contatto con l'Inps e avvieremo i primi accertamenti per verificare se possa essersi trattato di un problema legato alla progettazione del sistema o se si tratti invece di una problematica di portata più ampia. Intanto è di assoluta urgenza che l'Inps chiuda la falla e metta in sicurezza i dati''. Il Garante prosegue specificando che ''Quella della mancanza di sicurezza delle banche dati e dei siti delle amministrazioni pubbliche è una questione che si ripropone costantemente, segno di una ancora insufficiente cultura della protezione dati nel nostro Paese''.
LG TONE Free T90S: gli auricolari con la disinfezione UV cambiano forma
Kindle Paperwhite 2024: l'ereader di riferimento si rinnova ancora
Recensione LEGO Horizon Adventures: un'avventura costruita per emozionare 
La navicella cargo Tianzhou-8 ha effettuato il docking con la stazione spaziale cinese Tiangong
Impulse Space svilupperà il motore Deneb e ha comprato tre lanci su SpaceX Falcon 9
Studio ESA: un razzo spaziale di grandi dimensioni è ''possibile in linea di principio''
113 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoChe vergogna... I vertici dell'INPS sarebbero da licenziare, senza dargli la pensione, però.
Fossi il gestore del sito spegnerei tutto e farei una bella pulizia prima di riaccendere...
Fossi il gestore del sito spegnerei tutto e farei una bella pulizia prima di riaccendere...
Hehe, è un attacco su due fronti quello che li ha messi in crisi. Da una parte l'esercito dei veri disperati. Dall'altro quello dei parassiti perennemente alla ricerca di sostentamento e abilissimi nello sfruttare le occasioni offerte.
Invece non saranno licenziati ma riceveranno un encomio e forse pure un bonus per aver lavorato in questo periodo, e la pensione naturalmente la percepiranno e sarà pure bella robusta, alla facciaccia nostra
Che vergogna... I vertici dell'INPS sarebbero da licenziare, senza dargli la pensione, però.
Ma che vuoi che c'entrino i vertici dell'INPS???
Se anche fossero persone competenti questi servizi vengono affidati con gara a ditte esterne che realizzano il software e la manutenzione. Detto ciò non fa notizia perché non è così evidente ma di falle di questo tipo ne ha anche la tua banca.
Dici che non so qual è? Non importa... perché semplicemente è così per tutte. Poi non te ne accorgi ripeto ma rimane il fatto che la privacy vera è praticamente irraggiungibile così come è impossibile il software perfetto senza nessun bug.
Prima era molto più semplice e pratico cercare quel che ti serve, invece hanno fatto questa miglioria grafica che è un bordello è ci vuole un pò per prenderci la mano.
Insomma, già un lavoro da schifo in più il problema di privacy, con molti che ne avranno aprofittato per impicciarsi degli affari degli altri.
se ci provo altre 100 volte non ci riesco
ad ogni modo è anche l'effetto della comunicazione equivoca... fino a ieri pomeriggio indicavano che per la graduatoria incideva anche l'ordine delle richieste, aspetto poi smentito solo a poche ore dall'inizio, che non è difficile immaginare abbia lasciato incertezza, se poi ci si aggiunge la nostra 'eh ma metti che...' frittata fatta
ovviamente il tutto al netto della evidente inadeguatezza dell'infrastruttura
a questo punto ci starebbe anche che annullino tutto cmq. con molto pollame che ancora non ha smesso di sganasciarsi
Tutti i principali linguaggi di sviluppo lato server (.net, php, java, ecc) utilizzano le sessioni, ovvero l'accoppiata di un cookie con un'area di memoria/file/database in cui memorizzare dati lato server e "condividerli" tra una pagina e l'altra del sito.
In alcuni casi è possibile che si imputtani l'associazione tra cookie e sessione, incrociando quindi le richieste di un utente con quelle di un altro....
l'INPS non ha mai indicato una cosa del genere e ne lasciato intendere cio, anzi, nell'intervista al presidente dell'INPS di settimana scorsa diceva espressamente che non ci sarebbe stato il click day, che tutte le richieste sarebbero state evase e che nessuno sarebbe rimasto senza.
ma come si sa la popolazione è mediamente stupida e che sarebbe successo cio.
ovviamente il tutto al netto della evidente inadeguatezza dell'infrastruttura
a questo punto ci starebbe anche che annullino tutto cmq. con molto pollame che ancora non ha smesso di sganasciarsi
l'infrastruttura non centra un caz, non è inadeguata, hanno solo sbagliato a gestire al situazione.
è IMPENSABILE avere un'infrastruttura parametrata per reggere un picco piu unico che raro come questo; dovevano semplicemente fare come con le pensioni, i primi giorni dividere per cognomi e poi aperto a tutti quelli che non erano riusciti a farlo i primi giorni.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".