boom del bonus 600 euro, e come molti si aspettavano il sito dell’inps non è stato in grado di reggere con i loro server, l’accesso di massa verificatosi da ieri notte ad oggi.
Ancora più grave pensare che quanto sia successo oggi, era lungamente prevedibile, sia per l’argomento largamente sentito, e sia perché lo stesso istituto, ci ha messo il carico da 90 sopra, generando un effetto panico con le loro dichiarazioni di un possibile click day. Nonostante come detto in molti si aspettavano quanto poi si è verificato,
nessuno in realtà avrebbe potuto immaginarsi la gravità del danno che è stato questo lock down odierno. Passi per i continui disservizi causati dall’irraggiungibilità del sito dell’inps, per essi divano e popcorn ed un caro ringraziamento dagli addetti ai lavori, il peggio è stato vedere condivisi i dati sensibili di migliaia di utenti con utenti ignari e che mai avrebbero dovuto vedere quei dati nelle loro bacheche personali. Da più fronti sono arrivate questo tipo di segnalazione:
“sono visibili i dati personali di altri utenti”
“Il portale istituzionale è inaccessibile”
“il portale è tornato accessibile, ma l’utente che risulta collegato non sono io”
Considerata la data odierna, i più ingenui potrebbero pensare al più classico degli scherzi, un pesce d’aprile tutto da ridere, ma non è così. Si tratta di data breach, una falla (in questo caso informatica) che l’Autorità Garante per la protezione di dati personali descrive così:
“Una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali”.
Per migliaia di persone sono stati resi pubblici le informazioni personali e da tutelare, tra le quali, nome e cognome, codice fiscale, data e luogo di nascita e residenza, indirizzi mail e PEC personali.
Dall’INPS inizialmente non si è avuta nessuna comunicazione ufficiale, solo un tweet in risposta a un utente in cui si legge:
“Siamo a conoscenza della problematica, anche grazie alle vostre segnalazioni che sono state girate a chi si occupa dei servizi online. Ci scusiamo per quanto accaduto e stiamo lavorando a una pronta risoluzione. Grazie ancora #InpsInAscolto”
Poi, subito la corsa ai ripari, con le dichiarazioni rilasciate da vertici dell’istituto e di governo, in primis il nostro primo ministro Conte. Si tratta di attacco hacker (Vorrei scrivere cracker, ma evito di tediarvi sulla differenza tra gli hacker ed i cracker).
Ma sarà stato davvero così? Taluni dicono che fino a prova contrario non possiamo pensare diversamente, ed invece qui ci sbilanceremo, presto spiegando anche le motivazioni del perché non possiamo credere a questa assurda teoria.
Gli hacker, comunemente, non fanno in modo che singoli entrino nelle aree protette di altri utenti e vedano i dati sensibili. Non fanno sicuramente in modo da creare un disservizio a chiunque se non ve ne sia assolutamente necessità. La domanda da porci infatti è perché un hacker avrebbe interesse a far si che l’uno veda i dati sensibili dell’altro, piuttosto che rubarne i contenuti in trasparenza e completo anonimato?
È l’hacker stesso, di solito, che prende possesso dei dati e, nel caso ci siano anche ragioni politiche, solitamente rivendica quanto fatto. Diversamente invece, la più grande community di hacker italiana, ne smentisce categoricamente la paternità arrivando addirittura a schernire l’operato dei tecnici dell’inps.
Piuttosto invece, è facile credere che mal si è predisposta l’infrastruttura tecnologica adita al serivizio dell’inps, e non si è calcolato neanche minimamente il carico di traffico che sarebbe arrivato sui server.
*Immagine puramente scherzosa
Non si sono predisposte misure volte a ricevere un picco di traffico tanto alto quanto era facilmente ipotizzabile considerata la molte di lavoratori verso i quali erano predisposte le misure del bonus 600 euro.
Riguardo il problema che ne è conseguito da questa inadeguatezza dell’infrastruttura tecnologia, l’idea più plausibile potrebbe essere quella legata ad una cache dei server tenuta troppo a lungo, e che non fosse rispondente alle effettive richieste da parte dei visitatori.
Altra possibile ipotesi invece potrebbe essere una cattiva gestione delle sessioni utenti, mal programmate da chi ha sviluppato l’applicazione.
Non sappiamo, e difficilmente potrà essere diversamente, cosa effettivamente sia successo, ma posso sentirmi abbastanza sicuro di affermare che non avremmo potuto aspettarci un risultato diverso da chi scrive e/o lascia che un simile codice venga messo in produzione con queste variabili 🙂
