Offline

"Ma quale hacker", gli esperti d'accordo
"Il sito Inps è andato giù da solo"

La variabile "Pippo" che tanto ha fatto sorridere gli esperti nel codice sorgente del sito dell'Inps

Nel giorno in cui era possibile inviare richieste di bonus e congedi, il sito dell'Inps è andato in tilt. Non solo si è bloccato ma gli utenti hanno avuto accesso a dati sensibili di terze persone.

Pasquale Tridico, presidente dell'Inps, ha parlato di un attacco hacker per giustificare il blocco del sito, tesi sostenuta anche dal Presidente del Consiglio Giuseppe Conte. Ma gli esperti del settore informatico tendono a escludere questa ipotesi. Più plausibile che le 100 richieste al secondo per ricevere il bonus di 600 euro previsto dal Governo per contenere i danni economici da Covid hanno mandato in tilt il sistema del sito Inps che non ha retto.

"Si tratta di un disservizio. Paragonato al carico degli e-commerce come Amazon in tempi di Black Friday, non è un volume di traffico eccessivo. Parlare di attacco hacker è poco credibile. In questo caso avrebbero potuto affidarsi a servizi di protezione contro gli attacchi DoS che servono a rallentare il server per farlo diventare non operativo", spiega Matteo Nista, web developer della startup Diamante Content.

Il sito Inps ha fatto emergere anche i dati sensibili di utenti terzi, dal codice fiscale all'indirizzo di casa, dalla mail al cellulare privato. Come si spiega quanto accaduto? "E' probabile che i tecnici del sito Inps abbiano utilizzato una strategia di caching. Con la cache invece di chiedere tutte le volte al server le informazioni per comporre le pagine dei moduli da compilare, si tengono in memoria alcune parti delle richieste. Ma è stata sbagliata una configurazione che ha portato a questo errore", è questa la causa secondo lo sviluppatore web. Non era difficile, però, evitare questa grave violazione di privacy ai danni degli ignari utenti: "Bastava che programmatori del sito si fossero affidati a server scalabili o ai CDN, contenuti distribuiti sul network attraverso i server".

Che non sia stato, quindi, un attacco hacker a diffondere dati sensibili, lo pensa anche Giuseppe Cerasuolo, responsabile dei siti web dell'Università Suor Orsola Benincasa di Napoli: "Ritengo poco probabile la versione dell'hackeraggio, non è questo il modo in cui operano gli hacker. Non avrebbero tratto profitto entrando nel sito Inps o esponendo i dati sensibili dei cittadini", racconta Cerasuolo. "Credo che la versione più probabile sia un difetto di programmazione del sito che ha causato il malfunzionamento dei dati. L'inaspettato sovraccarico del server ha portato il sito in down".

Si è anche parlato della variabile "Pippo" riscontrata nel codice sorgente del sito Inps. Si tratta della più frequente variabile metasintattica utilizzata dai siti web. "Scoprire che un sito come l'Inps utilizzi ancora la variabile Pippo mi ha fatto sorridere. Ormai è superata, veniva usata tanti anni fa. Per fretta, probabilmente, i tecnici avranno preso questa variabile senza cambiarla", racconta Matteo Nista.

Ora il sito funziona ma a fatica, con entrate scaglionate. Ma il problema della privacy non è stato superato. Secondo l'Inca Cgil, patronato del sindacato, arrivano ancora segnalazioni di cittadini che non riescono a entrare in MyInps o una volta entrati si trovano di nuovo davanti le schermate con le identità di altri utenti. Il Presidente Tridico dovrà rispondere al Garante per la privacy che ha aperto un'istruttoria "allo scopo di effettuare opportune verifiche e valutare gli interventi necessari a tutelare i diritti e le libertà degli interessati".

Chiara Sorice

[2.4.2020 - 18:25]