Il “click day” sul sito dell’INPS per richiedere l’indennità di 600€ prevista per le partite IVA è stato un disastro. L’ente punta il dito contro degli hacker, ma probabilmente non c’entrano nulla.
Nella giornata del primo aprile il sito dell’INPS doveva finalmente aprire la procedura online per accedere all’indennità di 600 euro promessa ad alcune partite IVA. Una serie di uscite “sgraziate” da parte dei membri del Governo e dei funzionari dell’ente previdenziale avevano fatto intendere fin da subito che non ci sarebbero stati soldi a sufficienza per tutti. A questo si aggiunge il fatto che l’INPS aveva comunicato che i soldi sarebbero stati distribuiti in base al principio first came, first served. Chi prima arriva, meglio alloggia. Per gli altri nemmeno le briciole.
Detto in altre parole, l’accesso agli strumenti di welfare predisposti per aiutare chi si trova in difficoltà a causa della crisi attuale è stato trasformato in un immenso click day — un po’ come se si stesse parlando dell’ultimo paio di sneaker di un qualche brand di streetwear.
In un secondo momento l’INPS ha smentito che le domande verranno prese in considerazione in base all’ordine cronologico, ma ormai il danno era stato fatto.
Il problema “Luciano Vangone”
È stato un bagno di sangue: il sito dell’INPS già dopo pochi minuti dallo scoccare della mezzanotte era diventato inagibile, tra chi non riusciva ad accedere e chi si è ritrovato davanti a degli errori tanto gravi quanto grotteschi.
Moltissimi utenti hanno segnalato di aver avuto accesso ai profili personali di altre persone, con informazioni estremamente sensibili (ad esempio eventuali domande per l’invalidità) in vista.
Per qualche ragione, molte persone hanno avuto accesso al profilo personale di tale Luciano Vangone — che a questo punto ci auguriamo non sia una persona reale, e se lo è, che gli siano dati tutti gli strumenti per ricevere risarcimento per il danno sofferto, a maggior ragione perché ormai il suo nome è su qualsiasi quotidiano o magazine.
Peraltro è già il protagonista di diverse bufale, come un finto comunicato dell’INPS che sostiene che riceverà lui tutti i fondi stanziati per le P.IVA — sarebbe ilare non fosse che c’è chi ci è cascato veramente.
Ma questo incidente non fa ridere per nulla: se non fosse chiaro, siamo davanti ad una delle più gravi violazioni della privacy della storia del nostro Paese.
L’INPS in un primo momento ha reso inaccessibile il suo sito, e per diverse ore tentando di accedere compariva il messaggio:
Al fine di consentire una migliore e più efficace canalizzazione delle richieste di servizio, il sito è temporaneamente non disponibile. Si assicura che tutti gli aventi diritto potranno utilmente presentare la domanda per l’ottenimento delle prestazioni
Nella giornata di ieri, 2 aprile, si è scelto un altro approccio: scandagliare gli accessi al sito in fasce orarie diverse a seconda che si sia un intermediario o un individuo:
#InpsComunica #DecretoCuraItalia Da oggi, #2aprile, i #servizitelematici #INPS saranno disponibili nei seguenti orari:
🕗8.00 – 16.00 per #patronati e #intermediari
🕟16.00 – 8.00 per i #cittadinihttps://t.co/QFrx4QWyNO pic.twitter.com/disy9O03yg— INPS (@INPS_it) April 2, 2020
A noi intuitivamente verrebbe da pensare che deviando tutti gli accessi in una fascia oraria specifica il problema rischi di ripetersi, ma a questo punto non inferiamo nemmeno. Siamo sicuri che ci sfugga qualcosa (e lo dico senza ironia).
Cosa è andato storto?
La risibile accusa contro “gli hacker”
In tutto questo, il Presidente dell’INPS ha immediatamente puntato il dito contro un fantomatico attacco hacker, quando i limiti dei sistemi informatici dell’ente sono in tutto e per tutto evidenti.
Sito @INPS_it temporaneamente sospeso per violenti attacchi hacker. Lo afferma il presidente @PTridico #INPSdown #Tridico #coronavirus #COVIDー19 #INPS pic.twitter.com/6Hhd1LhFJT
— Ministero Lavoro (@MinLavoro) April 1, 2020
#Inps @ptridico: “Negli ultimi giorni il sito ha ricevuto attacchi hacker che sono continuati anche stamattina, e che abbiamo segnalato alle autorità. Il sito verrà riaperto con modalità diverse: dalle 9 alle 16 potranno accedere consulenti e intermediari e dopo le 16 gli utenti” pic.twitter.com/Wj7Q2ZIIhJ
— INPS (@INPS_it) April 1, 2020
A mettere in crisi i “potenti sistemi informatici” dell’Ente previdenziale è stato un “violento attacco hacker” da ben… 100 (cento) accessi al secondo. Cento accessi al secondo sono assolutamente nulla. Nel 2013, 7 anni fa, l’attacco DDoS medio aveva un rateo di fuoco di 47.4 Mpps. Un tantino di più di quello che possono fare 100 accessi al secondo.
La natura del problema è ben spiegata dal Consulente in cyber-security e digital forensics Riccardo Meggiato sulle pagine di Wired Italia.
Dagli elementi raccolti fino a questo momento, tutto sarebbe riconducibile a un problema di cache, anche se l’origine è un po’ più intima e ha a che vedere con il load balancing, cioè la tecnica con cui si assegnano dei compiti a un sistema informatico al fine di ottimizzarne le prestazioni.
scrive Meggiato.
Questo, con le dovute semplificazioni, porta a un concetto importante: in questo clamoroso disservizio, frutto di una tempesta perfetta, è molto più probabile l’errore umano che l’attacco hacker di cui hanno parlato sia il governo che l’ente previdenziale.
That’s it, in tutta probabilità, nessun attacco della Spectre, degli hacker russi o iraniani, né di nessun’altra organizzazione criminale.
Anonymous Italia ha già smentito un suo coinvolgimento, ma non senza la giusta dose di sfottò contro le mancanze dei sistemi informatici dell’INPS. “Ci sarebbe piaciuto attaccarvi, ma non serve, fate tutto da soli”, ha detto il collettivo su Twitter.
https://twitter.com/Anon_ITA/status/1245363614061600769
Nel frattempo un attacco hacker, annuncia oggi l’intelligence italiana, c’è stato veramente: ma contro l’ospedale Spallanzani di Roma. Attacco che per fortuna è fallito, ora le autorità indagano.
