INPS hackerato o errore di sistema? Facciamo chiarezza e ripercorriamo insieme quanto accaduto ieri a seguito della fuga dei dati personali dei cittadini. Cosa è successo davvero?
Nella giornata di ieri l’INPS avrebbe subito un grave attacco informatico causato, secondo quanto dichiarato dal Presidente del Consiglio Giuseppe Conte, da alcuni attacchi hacker. L’INPS è stato davvero hackerato? Le dichiarazioni ufficiali parlano di multipli attacchi ai danni della piattaforma, ma una serie di indizi lasciano lo spazio ad alcuni dubbi.
Si tratta ovviamente di ipotesi: i dati ufficiali ci dicono che nella giornata del 1 aprile il sito dell’INPS ha riscontrato diversi malfunzionamenti e problemi di accesso che hanno portato a una grave violazione dei dati personali dei cittadini, con singoli profili privati apparsi in automatico e senza alcun tipo login o controllo.
Un gravissimo data breach, etichettato in modo fin troppo vago: ecco cosa sappiamo.
INPS, cosa è successo davvero: attacco hacker o errore di sistema?
Partiamo dalle dichiarazioni di Pasquale Tridico, presidente dell’INPS (successivamente riprese poi da Conte in un dibattito in aula con Salvini): i malfunzionamenti del portale ufficiale, nella giornata record in cui prendevano il via le domande del fatidico bonus da 600 euro per i titolari di partita IVA, sarebbero dovuti a un attacco informatico.
L’ipotesi hacker non convince molto, a essere onesti: i dati di fatto riportano infatti una sola versione dell’accaduto, che sarà soggetta ai dovuti accertamenti come dichiarato dal Garante della privacy Antonello Soro:
“Abbiamo immediatamente contattato l’INPS dopo l’accaduto, avvieremo i primi accertamenti utili a constatare e verificare se possa essersi trattato di un problema strettamente legato alla progettazione del sistema o se si tratta di una problematica dalla portata più ampia”.
Il sito è stato poi successivamente chiuso per risolvere la falla ma alcuni dettagli lasciano aperta la porta ad alcuni dubbi circa l’ufficialità dei problemi riscontrati.
INPS hackerato o malfunzionamento involontario?
Le dichiarazioni di Tridico che etichettano l’episodio a un banale attacco hacker non convincono pienamente, ma sono da considerarsi vere fino a prova contraria.
Prima di tutto, la natura stessa dell’attacco hacker: solitamente i pirati informatici, esperti nel furto dei dati sensibili e nella manomissione di misure di sicurezza sistematiche, non lasciano alcun tipo di traccia del loro passaggio (andrebbe contro i propri interessi) e oltretutto non lasciano che il proprio bottino rimanga di dominio pubblico (in questo caso, i dati personali a cui tutti gli utenti del sito dell’INPS hanno avuto accesso in modo causale e del tutto involontario).
C’è una sola singola alternativa che fa eccezione in questo caso, ed è la rivendicazione dell’attacco hacker.
Per il momento non c’è stata alcun richiamo da parte dei principali gruppi del settore, non è detto che non possa accadere ma il fattore che smonta la tesi dell’attacco hacker è proprio una smentita d’eccezione.
INPS hackerato, parla Anonymous: non centriamo nulla, il malfunzionamento è vostro
Decisamente sopra le righe le dichiarazioni di Anonymous, che smentisce categoricamente di essere dietro l’attacco al portale dell’Istituto Nazionale della Previdenza Sociale:
“Caro Inps, vorremmo prenderci il merito di aver buttato giù il vostro sito web, ma la verità è che siete talmente incapaci che avete fatto tutto da soli, togliendoci il divertimento”.
Anonymous e Lulzsecita rincarano le già irriverenti dichiarazioni, accusando il governo di aver diffuso una vera e propria fake news accusando, ingiustamente, gli hacker per un falla di sistema che è alle origini del portale.
Caro @INPS_it, vorremmo prenderci il merito di aver buttato giù il vostro sito web, ma la verità è che siete talmente incapaci che avete fatto tutto da soli, togliendoci il divertimento! #INPS #Hacked #Anonymous #LulzSecITA #GDPR pic.twitter.com/Cgz8PWYUTC
— Anonymous Italia (@Anon_ITA) April 1, 2020
INPS: eccesso di traffico la vera causa del data breach?
I precedenti danno adito all’ipotesi di un malfunzionamento generale di sistema: non è la prima volta che i portali informatici dei servizi pubblici riscontrano malfunzionamenti gravi tanto da impedire il corretto accesso a bonus e provvigioni a beneficio del singolo cittadino.
I casi sono molti, per citare i più recenti abbiamo il portale 18app, che ha reso impossibile l’accesso al bonus per i neo maggiorenni per più di 24 ore, o i problemi di privacy simili legati al portale dell’Agenzia delle entrate quando è partita l’ormai famosa fatturazione elettronica.
Che i siti dei principali enti pubblici abbiano dei problemi a supportare grandi ondate di traffico non è un segreto, anche lo stesso Tridico sembra voler chiarire che non è necessario affollare virtualmente il sito dell’INPS per ottenere il bonus:
“Vale l’appello fatto per gli ospedali: non serve correre tutti insieme, le prestazioni appena attivate non finiscono perché il governo ha già assicurato che verranno rifinanziate con il nuovo decreto di aprile e se la procedura per il Pin si interrompe basta avere pazienza, aspettare e riprovare. Tengo a ribadire che questo è solo il giorno di partenza, le risorse ci sono e nessuna domanda verrà perduta”.
Il problema, come sottolineato dalle ipotesi di varie testate e analisti, sembra legato a un errore di cache che avrebbe portato alla comparsa involontaria di alcune pagine private degli utenti.
La falla di sistema era nota inoltre già nei giorni precedenti e a partire dalla serata del 31 marzo su alcuni gruppi Facebook gli utenti segnalavano già malfunzionamenti e l’apparizione di alcuni profili privati dal sito dell’INPS.
Nei prossimi giorni sicuramente la situazione verrà chiarita in maniera ufficiale: per il momento il danno è fatto e a oggi il portale ufficiale dell’INPS sembra essere tornato alla normalità.
© RIPRODUZIONE RISERVATA
