Sito Inps, perché l’ipotesi dell’attacco hacker non convince

Poi, però, è scoppiato il caso data breach. Ad una certa ora, infatti, non solo l'accesso al sito dell'ente previdenziale era pressoché impossibile, ma alcuni utenti sono stati indirizzati su pagine di altri utenti.

Come ha scritto l'utente Francesco V. al Sole 24 Ore: «Come molti altri sto cercando di autenticarmi sul sito INPS tramite SPID. L'unica volta che ci sono riuscito sono entrato nell'area personale di un'altra persona a me sconosciuta!!! Ho provveduto ad effettuare subito il log off, ma ho conservato sia la schermata INPS che la mail Poste IT con la conferma dell'avvenuto accesso. Conclusione: SPID è bacato!».

Hacker o malfunzionamento?
Un flop clamoroso, quello del sito dell'INPS. Tanto che anche il garante della privacy si è detto preoccupato: «Abbiamo immediatamente preso contatto con l'Inps – ha detto Antonello Soro - e avvieremo i primi accertamenti per verificare se possa essersi trattato di un problema legato alla progettazione del sistema o se si tratti invece di una problematica di portata più ampia. Intanto è di assoluta urgenza che l'Inps chiuda la falla e metta in sicurezza i dati».

La risposta è stata la chiusura del sito. Ma, proprio come sostiene Soro, sarà adesso importante capire cosa è successo.

L'ipotesi di hackeraggio sostenuta da Tridico è vera fino a prova contraria. Ma attualmente mancano evidenze specifiche. Gli attacchi hacker, comunemente, non fanno in modo che singoli entrino nelle aree protette di altri utenti e vedano i dati sensibili.

È l'hacker stesso, di solito, che prende possesso dei dati. Inoltre, un attacco hacker di questo livello (con l'attenzione che sta catalizzando questa notizia) solitamente viene rivendicato. Al momento (ma potrebbe ancora succedere) non c'è alcuna rivendicazione.

Problemi da traffico
Quello che appare più probabile, invece, è un malfunzionamento dovuto al picco di traffico veicolato sul sito nelle scorse ore. E le parole di Tridico in parte lo confermano: «Vale oggi anche per noi l'appello fatto per gli ospedali: non serve correre tutti insieme, le prestazioni appena attivate non finiscono perché il governo ha già assicurato che verranno rifinanziate con il nuovo decreto di aprile e se la procedura per il Pin si interrompe basta avere pazienza, aspettare e riprovare. Tengo a ribadire che questo è solo il giorno di partenza, le risorse ci sono e nessuna domanda verrà perduta».

Un appello, quello del presidente dell'Inps, che in sostanza vuole dire: abbiate pazienza, c'è troppo traffico.

E infatti, a giudicare da cosa è successo, sembrerebbe più probabile un problema legato alla cache del sito. Mentre il portale faceva fatica a stare online, infatti, è possibile che qualcuno – fra i gestori del sito - abbia deciso di apportare modifiche alla cache, facendo in modo che alcune pagine rimanessero in memoria per evitare sovraccarico. È una soluzione applicata spesso, quando si ha a che fare con siti molto grossi alle prese con picchi di traffico.

Il problema vero, però, è che le pagine finite in cache – se questa ipotesi, che ci sembra altamente possibile ma che non possiamo provare, fosse quella giusta – erano un po' troppe. E forse non quelle giuste. Da qui la memorizzazione di alcune pagine utente con tanto di dati personali che sono comparse all'apertura di nuovi login.

Almeno da una prima analisi tecnica di quanto successo, insomma, ci sembra abbastanza improbabile che dietro al malfunzionamento del sito di INPS possa esserci stato un attacco hacker. Ma INPS può eventualmente smentire documentandolo.