Accedi al sito Inps e ti appare la pagina di altre persone, loro nome, cognome e documenti personali. E’ questo il data breach riscontrato sul sito di Inps, ieri sera e di nuovo stamattina, a quanto segnalato da numerosi utenti e riscontrato da noi stessi con prove documentali video. Gli esperti concordano che il problema è stato probabilmente causato da un tentativo dei tecnici Inps di alleggerire il carico sul server a fronte della richiesta in massa di bonus 600 euro sul sito Inps e forse anche di un attacco Ddos in corso.
In particolare i tecnici hanno staticizzato alcune pagine ma, per un errore ancora da accertare, il risultato è che sono apparsi i profili degli utenti connessi in precedenza.
Il problema si verificato in più occasioni, a quanto risulta. Non è chiaro quante persone sono coinvolte nel data breach; forse solo una piccola quantità, dato che negli screenshot che girano in rete ricorrono gli stessi nomi. Segnalazioni fatte a Inps già il 31 non hanno avuto riscontro. Inps in seguito non ha fornito spiegazioni dell’errore, ma il 3 aprile ha confermato il problema e notificato il databreach al Garante privacy, che il 2 aprile aveva avviato un’istruttoria formale.
Indice degli argomenti
I dettagli tecnici del data breach Inps
Aggiorneremo quest’articolo – pubblicato originariamente il primo aprile mattina – con altre informazioni non appena disponibili, intanto così commenta al nostro sito Paolo dal Checco, che già aveva riscontrato il fenomeno il 31 pomeriggio: “da test che abbiamo effettuato sul sito INPS risulta effettivamente che a seguito del login regolare con nome utente e password, compaiano pagine con anagrafica e documenti che si riferiscono ad altri utenti”. “A ogni click sul menù cambia utente visualizzato, in modo quasi casuale, come se ogni pagina appartenesse a utenti diversi. Non abbiamo provato a eseguire test dispositivi o a modificare parametri, per evitare di fare danni, perciò non sappiamo se il bug si limiti alla visualizzazione di profili diversi o permetta anche di agire su di essi, ad esempio richiedendo modifiche, bonus o facendo operazioni che possano anche in qualche modo danneggiare il proprietario legittimo”. “Non sappiamo, altresì – aggiunge Dal Checco – , se i dati degli utenti che vengono visualizzati siano reali oppure una sorta di anagrafica di test: certamente si possono vedere dettagli specifici come numeri di telefono, codici fiscali e indirizzi email e una veloce ricerca OSINT su web a campione ha mostrato la coerenza dei dati”.
Possibile cause tecniche della violazione privacy
“Una ipotesi è che Inps, per ridurre il carico sui server a causa delle tante richieste del bonus abbiamo staticizzato alcune pagine (caching). Può trattarsi quindi di una sorta d’incrocio di dati nella cache che ‘staticizzano’ le pagine per velocizzarne la visualizzazione sul browser oppure di problemi di gestione delle sessioni utente, magari dovute a parametri mal bilanciati in fase di sviluppo. Si potrebbero fare altre ipotesi riuscendo ad accedere agevolmente al sito, ma l’analisi risulta complessa da fare perché il portale dell’INPS oggi è quasi sempre offline o produce errori di accesso”, dice dal Checco.
La segnalazione: accesso anche senza password
“Diversi utenti segnalano che sembra che l’accesso al sito INPS fosse consentito anche senza password, il che renderebbe ulteriormente più rilevante la situazione perché non si avrebbe la tracciabilità del profilo di accesso, che consentirebbe almeno di ricostruire chi ha visto che cosa. Da vari tweet e articoli ormai pubblicati in mattinata sulla rete emerge che in tanti hanno segnalato di aver visionato i dati degli stessi utenti, sembra di alcune decine di profili che si ripetono”, ha precisato Dal Checco. Questo “andrebbe a confermare l’ipotesi di una sorta di cache che viene mostrata ai profili connessi, magari con l’intento positivo di velocizzare la navigazione. Senza fare riferimento a ciò che è successo ma anzi ‘al fine di consentire una migliore e piu’ efficace canalizzazione delle richieste di servizio al momento il sito è stato messo offline. Con non poca difficoltà, tra l’altro, visto che prima è comparso per alcuni minuti il codice HTML sorgente della pagina, poi una nota di ‘sito in manutenzione’ fino ad arrivare alla spiegazione attuale”, conclude l’esperto.
Le immagini
Di seguito, immagini tratte dal video che abbiamo girato. Il sito Inps nel momento in cui è risultato inaccessibile:
Aggiornamento 14.54 01/04/2020: sito accessibile solo in certi orari
Il sito è stato messo offline da Inps alla luce dei problemi riscontrati. Inps comunica che per ora sarà online dalle 8 alle 16 per consulenti e patronati e dalle 16 per i cittadini.
Conte e Inps: colpa degli hacker
In serata l’Inps e il presidente del Consiglio Conte hanno attributo agli hacker i disservizi. Una motivazione che però non ha convinto molti esperti e ha scatenato le ire di Anonymous, che oltre a negare proprie responsabilità ha escluso che la colpa potesse essere attribuita a qualsiasi hacker.
Caro @INPS_it, vorremmo prenderci il merito di aver buttato giù il vostro sito web, ma la verità è che siete talmente incapaci che avete fatto tutto da soli, togliendoci il divertimento! #INPS #Hacked #Anonymous #LulzSecITA #GDPR pic.twitter.com/Cgz8PWYUTC
— Anonymous Italia (@Anon_ITA) April 1, 2020
L’attacco Ddos a Inps: chi ha interesse a destabilizzare il Paese?
E’ confermato però che Inps ha subito un attacco Ddos. A quanto risulta, già da venerdì scorso e di grande rilevanza. L’attacco può aver peggiorato la congestione del sito (già causata dalle molte richieste degli utenti). E messo sotto pressione i tecnici, a trovare una soluzione in fretta e furia (il caching), così favorendo l’errore fatale. Il Dis (Dipartimento delle informazioni per la sicurezza, il Sistema di informazione per la sicurezza della Repubblica) sta indagando per scoprire chi può avere interesse e le risorse adeguate per alimentare il caos in Italia, a destabilizzare il Paese.
Le ricadute privacy e giuridiche del data breach Inps
Nel frattempo che si faccia chiarezza sulle responsabilità, gli esperti già si interrogano su quali sono gli obblighi dell’INPS e quale rilevanza giuridica riveste un tale data breach.
