Una giornata da dimenticare quella di ieri per l’INPS. Già nella notte il sito dell’Istituto è stato inondato di accessi per le domande di indennità Covid-19 da 600 euro, e dopo una serie di attacchi hacking (a detta di Tridico) un bug nel sistema permetteva a tutti la visualizzazione dei dati personali di tutti gli altri utenti. Di fatto la più massiccia violazione dei dati personali mai avvenuta in Italia.
Hackerato il sito INPS (o forse no), prima mostra i dati personali degli utenti poi collassa. Una giornata da dimenticare quella di ieri per l’INPS. Mezza Italia era connessa sul sito, chi per recuperare il PIN smarrito, chi per presentare la domanda di indennità COVID-19 di 600 euro o voucher baby-sitting. Già durante la notte erano state inserite più di 300.000 domande, poi dalle ore 8 venivano inserite 100 domande al secondo. Un assalto legittimo, perché nonostante abbiano smentito l’esistenza di un CLICK DAY, ovvero la corsa alla presentazione della domanda, di fatto hanno confermato la lavorazione delle domande in ordine cronologico. E dividendo le risorse disponibili per gli aventi diritto è matematico che non tutti riusciranno a ricevere le briciole che il Governo ha intenzione di elargire a tutti i lavoratori italiani che si trovano ormai in ginocchio dopo quasi un mese di stop. E allora pure 600 euro sono meglio di niente.
Hackerato il sito INPS? La più massiccia violazione dei dati personali mai avvenuta in Italia
Il presidente INPS Tridico ha dichiarato che il sito INPS ha ricevuto numerosi e pesanti attacchi hacking e che il più pesante ha determinato infine una spaventosa violazione della privacy di tutti gli utenti registrati. Per più di un’ora il sistema mostrava agli utenti loggati i dati sensibili di tutti gli altri. Un avvenimento gravissimo se si pensa che all’interno del sito INPS sono presenti, oltre ai dati anagrafici, anche informazioni relative a redditi, pagamenti, patologie invalidanti e dati personali anche dei minori.
Immediatamente è intervenuto il Garante della privacy Antonello Soro: “Si tratta di un gravissimo data breach. Siamo molto preoccupati, ci siamo messi subito in contatto con l’Inps e avvieremo i primi accertamenti per verificare se si è trattato di un problema legato alla progettazione del sistema di una problematica più ampia. È importante che ora l’Inps chiuda la falla e metta in sicurezza i dati”.
Riportiamo inoltre un breve estratto dall’articolo ell’AGI che potete leggere qui per intero, in cui nell’intervista a Matteo Flora si esclude la violazione a causa di un attacco hacking:
“È poco probabile che i problemi del sito dell’Inps siano stati causati da un attacco hacker, anche perché di attacchi hacker di questo tipo finora non ce n’è mai stata traccia. Più facile invece che si sia trattato di un errore di programmazione della memoria cache del sito. Ne è convinto Matteo Flora, imprenditore e informatico che all’AGI spiega le ragioni delle centinaia di segnalazioni arrivate in queste ore da parte di utenti che si sono trovati con moduli già compilati da altri utenti, accedendo cosi’ ai loro dati riservati.”
Non è ancora chiaro quali saranno le conseguenze ma rimane comunque preoccupante l’idea che i nostri dati siano in mano ad un ente pubblico che non è in grado di resistere agli attacchi e che rischia di andare in tilt in qualunque momento. Già che la nostra privacy al momento è appesa a un filo…
Anche Anonymous Italia si è espressa con un tweet in merito all’accaduto smentendo l’attacco:
Il collasso dopo l’attacco, poi l’accesso scaglionato
Non appena si è diffusa la notizia della violazione, che è rimbalzata su quotidiani e social in tempi brevissimi, il sito INPS è stato chiuso per diverse ore per cercare di riparare i danni.
In tutto questo amba aradam si suppone che ancora decine di migliaia di utenti non siano riusciti ad inserire la domanda di indennità COVID-19 di 600 euro.
A seguito dell’accaduto, per agevolare l’utilizzo delle procedure telematiche agli utenti, sono stati ridimensionati gli accessi dividendoli in due scaglioni:
- Dalle ore 8,00 alle ore 16,00 i servizi saranno disponibili per Patronati e Intermediari abilitati, che potranno operare secondo le consuete modalità di accesso;
- Dalle ore 16,00 alle ore 8,00 i servizi saranno disponibili per i cittadini, che potranno operare utilizzando le credenziali di accesso attualmente disponibili.
Se l’intermediario utilizza il PIN dell’utente e non il suo PIN da intermediario l’accesso è considerato come accesso da cittadino.
Nel frattempo molti servizi telematici sono stati sospesi e le funzionalità di richiesta, ripristino e revoca del PIN sono ancora fuori uso!