data breach

Sito Inps, privacy violata: accessibili i dati altrui. Ecco che è successo

Sul sito Inps è stato possibile accedere a pagine e informazioni riguardanti altre persone, con nome cognome e documenti personali. Un grosso data breach che si è presentato in più occasioni fra il 31 marzo e il primo aprile. Ecco i dettagli

04 Apr 2020

Accedi al sito Inps e ti appare la pagina di altre persone, loro nome, cognome e documenti personali. E’ questo il data breach riscontrato sul sito di Inps, ieri sera e di nuovo stamattina, a quanto segnalato da numerosi utenti e riscontrato da noi stessi con prove documentali video. Gli esperti concordano che il problema è stato probabilmente causato da un tentativo dei tecnici Inps di alleggerire il carico sul server a fronte della richiesta in massa di bonus 600 euro sul sito Inps e forse anche di un attacco Ddos in corso.

In particolare i tecnici hanno staticizzato alcune pagine ma, per un errore ancora da accertare, il risultato è che sono apparsi i profili degli utenti connessi in precedenza.

Il problema si  verificato in più occasioni, a quanto risulta. Non è chiaro quante persone sono coinvolte nel data breach; forse solo una piccola quantità, dato che negli screenshot che girano in rete ricorrono gli stessi nomi. Segnalazioni fatte a Inps già il 31 non hanno avuto riscontro. Inps in seguito non ha fornito spiegazioni dell’errore, ma il 3 aprile ha confermato il problema e notificato il databreach al Garante privacy, che il 2 aprile aveva avviato un’istruttoria formale.

Per chi ha subito il databreach, Inps ha attivato questa casella maiviolazionedatiGDPR@inps.it dove inviare segnalazioni.

I dettagli tecnici del data breach Inps

Aggiorneremo quest’articolo – pubblicato originariamente il primo aprile mattina – con altre informazioni non appena disponibili, intanto così commenta al nostro sito Paolo dal Checco, che già aveva riscontrato il fenomeno il 31 pomeriggio: “da test che abbiamo effettuato sul sito INPS risulta effettivamente che a seguito del login regolare con nome utente e password, compaiano pagine con anagrafica e documenti che si riferiscono ad altri utenti”. “A ogni click sul menù cambia utente visualizzato, in modo quasi casuale, come se ogni pagina appartenesse a utenti diversi. Non abbiamo provato a eseguire test dispositivi o a modificare parametri, per evitare di fare danni, perciò non sappiamo se il bug si limiti alla visualizzazione di profili diversi o permetta anche di agire su di essi, ad esempio richiedendo modifiche, bonus o facendo operazioni che possano anche in qualche modo danneggiare il proprietario legittimo”. “Non sappiamo, altresì – aggiunge Dal Checco – , se i dati degli utenti che vengono visualizzati siano reali oppure una sorta di anagrafica di test: certamente si possono vedere dettagli specifici come numeri di telefono, codici fiscali e indirizzi email e una veloce ricerca OSINT su web a campione ha mostrato la coerenza dei dati”.

Possibile cause tecniche della violazione privacy

“Una ipotesi è che Inps, per ridurre il carico sui server a causa delle tante richieste del bonus abbiamo staticizzato alcune pagine (caching). Può trattarsi quindi di una sorta d’incrocio di dati nella cache che ‘staticizzano’ le pagine per velocizzarne la visualizzazione sul browser oppure di problemi di gestione delle sessioni utente, magari dovute a parametri mal bilanciati in fase di sviluppo. Si potrebbero fare altre ipotesi riuscendo ad accedere agevolmente al sito, ma l’analisi risulta complessa da fare perché il portale dell’INPS oggi è quasi sempre offline o produce errori di accesso”, dice dal Checco.

La segnalazione: accesso anche senza password

“Diversi utenti segnalano che sembra che l’accesso al sito INPS fosse consentito anche senza password, il che renderebbe ulteriormente più rilevante la situazione perché non si avrebbe la tracciabilità del profilo di accesso, che consentirebbe almeno di ricostruire chi ha visto che cosa. Da vari tweet e articoli ormai pubblicati in mattinata sulla rete emerge che in tanti hanno segnalato di aver visionato i dati degli stessi utenti, sembra di alcune decine di profili che si ripetono”, ha precisato Dal Checco. Questo “andrebbe a confermare l’ipotesi di una sorta di cache che viene mostrata ai profili connessi, magari con l’intento positivo di velocizzare la navigazione. Senza fare riferimento a ciò che è successo ma anzi ‘al fine di consentire una migliore e piu’ efficace canalizzazione delle richieste di servizio al momento il sito è stato messo offline. Con non poca difficoltà, tra l’altro, visto che prima è comparso per alcuni minuti il codice HTML sorgente della pagina, poi una nota di ‘sito in manutenzione’ fino ad arrivare alla spiegazione attuale”, conclude l’esperto.

Le immagini

Di seguito, immagini tratte dal video che abbiamo girato. Il sito Inps nel momento in cui è risultato inaccessibile:

Il tentativo di accesso con le proprie credenziali, che però hanno condotto all’area personale di un diverso contribuente:
 

Aggiornamento 14.54 01/04/2020: sito accessibile solo in certi orari

Il sito è stato messo offline da Inps alla luce dei problemi riscontrati. Inps comunica che per ora sarà online dalle 8 alle 16 per consulenti e patronati e dalle 16 per i cittadini.

Conte e Inps: colpa degli hacker

WHITEPAPER
Che differenza c’è tra VPN software e VPN hardware?
Networking
Banda larga

In serata l’Inps e il presidente del Consiglio Conte hanno attributo agli hacker i disservizi. Una motivazione che però non ha convinto molti esperti e ha scatenato le ire di Anonymous, che oltre a negare proprie responsabilità ha escluso che la colpa potesse essere attribuita a qualsiasi hacker.

L’attacco Ddos a Inps: chi ha interesse a destabilizzare il Paese?

E’ confermato però che Inps ha subito un attacco Ddos. A quanto risulta, già da venerdì scorso e di grande rilevanza. L’attacco può aver peggiorato la congestione del sito (già causata dalle molte richieste degli utenti). E messo sotto pressione i tecnici, a trovare una soluzione in fretta e furia (il caching), così favorendo l’errore fatale. Il Dis (Dipartimento delle informazioni per la sicurezza, il Sistema di informazione per la sicurezza della Repubblica) sta indagando per scoprire chi può avere interesse e le risorse adeguate per alimentare il caos in Italia, a destabilizzare il Paese.

Le ricadute privacy e giuridiche del data breach Inps

Nel frattempo che si faccia chiarezza sulle responsabilità, gli esperti già si interrogano su quali sono gli obblighi dell’INPS e quale rilevanza giuridica riveste un tale data breach.

Data breach INPS: implicazioni privacy e giuridiche

@RIPRODUZIONE RISERVATA

Articolo 1 di 5