INPS hackerato: cosa è successo davvero?

Matteo Novelli

2 Aprile 2020 - 10:52

condividi

INPS hackerato o errore di sistema? Facciamo chiarezza e ripercorriamo insieme quanto accaduto ieri a seguito della fuga dei dati personali dei cittadini. Cosa è successo davvero?

INPS hackerato: cosa è successo davvero?

Nella giornata di ieri l’INPS avrebbe subito un grave attacco informatico causato, secondo quanto dichiarato dal Presidente del Consiglio Giuseppe Conte, da alcuni attacchi hacker. L’INPS è stato davvero hackerato? Le dichiarazioni ufficiali parlano di multipli attacchi ai danni della piattaforma, ma una serie di indizi lasciano lo spazio ad alcuni dubbi.

Si tratta ovviamente di ipotesi: i dati ufficiali ci dicono che nella giornata del 1 aprile il sito dell’INPS ha riscontrato diversi malfunzionamenti e problemi di accesso che hanno portato a una grave violazione dei dati personali dei cittadini, con singoli profili privati apparsi in automatico e senza alcun tipo login o controllo.

Un gravissimo data breach, etichettato in modo fin troppo vago: ecco cosa sappiamo.

INPS, cosa è successo davvero: attacco hacker o errore di sistema?

Partiamo dalle dichiarazioni di Pasquale Tridico, presidente dell’INPS (successivamente riprese poi da Conte in un dibattito in aula con Salvini): i malfunzionamenti del portale ufficiale, nella giornata record in cui prendevano il via le domande del fatidico bonus da 600 euro per i titolari di partita IVA, sarebbero dovuti a un attacco informatico.

L’ipotesi hacker non convince molto, a essere onesti: i dati di fatto riportano infatti una sola versione dell’accaduto, che sarà soggetta ai dovuti accertamenti come dichiarato dal Garante della privacy Antonello Soro:

“Abbiamo immediatamente contattato l’INPS dopo l’accaduto, avvieremo i primi accertamenti utili a constatare e verificare se possa essersi trattato di un problema strettamente legato alla progettazione del sistema o se si tratta di una problematica dalla portata più ampia”.

Il sito è stato poi successivamente chiuso per risolvere la falla ma alcuni dettagli lasciano aperta la porta ad alcuni dubbi circa l’ufficialità dei problemi riscontrati.

INPS hackerato o malfunzionamento involontario?

Le dichiarazioni di Tridico che etichettano l’episodio a un banale attacco hacker non convincono pienamente, ma sono da considerarsi vere fino a prova contraria.

Prima di tutto, la natura stessa dell’attacco hacker: solitamente i pirati informatici, esperti nel furto dei dati sensibili e nella manomissione di misure di sicurezza sistematiche, non lasciano alcun tipo di traccia del loro passaggio (andrebbe contro i propri interessi) e oltretutto non lasciano che il proprio bottino rimanga di dominio pubblico (in questo caso, i dati personali a cui tutti gli utenti del sito dell’INPS hanno avuto accesso in modo causale e del tutto involontario).

C’è una sola singola alternativa che fa eccezione in questo caso, ed è la rivendicazione dell’attacco hacker.

Per il momento non c’è stata alcun richiamo da parte dei principali gruppi del settore, non è detto che non possa accadere ma il fattore che smonta la tesi dell’attacco hacker è proprio una smentita d’eccezione.

INPS hackerato, parla Anonymous: non centriamo nulla, il malfunzionamento è vostro

Decisamente sopra le righe le dichiarazioni di Anonymous, che smentisce categoricamente di essere dietro l’attacco al portale dell’Istituto Nazionale della Previdenza Sociale:

“Caro Inps, vorremmo prenderci il merito di aver buttato giù il vostro sito web, ma la verità è che siete talmente incapaci che avete fatto tutto da soli, togliendoci il divertimento”.

Anonymous e Lulzsecita rincarano le già irriverenti dichiarazioni, accusando il governo di aver diffuso una vera e propria fake news accusando, ingiustamente, gli hacker per un falla di sistema che è alle origini del portale.

INPS: eccesso di traffico la vera causa del data breach?

I precedenti danno adito all’ipotesi di un malfunzionamento generale di sistema: non è la prima volta che i portali informatici dei servizi pubblici riscontrano malfunzionamenti gravi tanto da impedire il corretto accesso a bonus e provvigioni a beneficio del singolo cittadino.

I casi sono molti, per citare i più recenti abbiamo il portale 18app, che ha reso impossibile l’accesso al bonus per i neo maggiorenni per più di 24 ore, o i problemi di privacy simili legati al portale dell’Agenzia delle entrate quando è partita l’ormai famosa fatturazione elettronica.

Che i siti dei principali enti pubblici abbiano dei problemi a supportare grandi ondate di traffico non è un segreto, anche lo stesso Tridico sembra voler chiarire che non è necessario affollare virtualmente il sito dell’INPS per ottenere il bonus:

“Vale l’appello fatto per gli ospedali: non serve correre tutti insieme, le prestazioni appena attivate non finiscono perché il governo ha già assicurato che verranno rifinanziate con il nuovo decreto di aprile e se la procedura per il Pin si interrompe basta avere pazienza, aspettare e riprovare. Tengo a ribadire che questo è solo il giorno di partenza, le risorse ci sono e nessuna domanda verrà perduta”.

Il problema, come sottolineato dalle ipotesi di varie testate e analisti, sembra legato a un errore di cache che avrebbe portato alla comparsa involontaria di alcune pagine private degli utenti.

La falla di sistema era nota inoltre già nei giorni precedenti e a partire dalla serata del 31 marzo su alcuni gruppi Facebook gli utenti segnalavano già malfunzionamenti e l’apparizione di alcuni profili privati dal sito dell’INPS.

Nei prossimi giorni sicuramente la situazione verrà chiarita in maniera ufficiale: per il momento il danno è fatto e a oggi il portale ufficiale dell’INPS sembra essere tornato alla normalità.

Argomenti

# INPS
# Hacker

Iscriviti a Money.it