Nella giornata di oggi, primo aprile 2020, chi riusciva ad accedere al sito dell’Inps si è trovato di fronte non i propri dati personali, ma quelli di altre persone. Qualcuno potrebbe aver pensato che l’Inps abbia fatto un pessimo pesce d’aprile nei confronti dei richiedenti dei 600 euro resi disponibili per l’emergenza Coronavirus. Un po’ troppo grosso come «scherzetto», ma è circolata anche quella dell’attacco hacker che, se dimostrato, risulterebbe gravissimo sotto diversi aspetti.
Dovendo dimostrare l’esistenza di un attacco hacker quale potrebbe essere il motivo del disservizio? Risulta evidente che in questo periodo molti cittadini vogliano ricevere la somma messa a disposizione dal Governo, tanto che le richieste di accesso al sito potrebbero aver superato le capacità di gestione dell’infrastruttura portando gli addetti ai lavori a mettere sotto «manutenzione» lo stesso sito.
I problemi potrebbero essere stati molteplici. In merito alla questione dei dati personali potremmo azzardare un errore di programmazione dettato dalla fretta di mettere online il sistema di richiesta, tale da permettere si l’accesso alla piattaforma ottenendo però i dati di terze persone. C’è però un ulteriore fatto curioso che ha destato la mia curiosità e che allontanerebbe anche questa possibilità.
Gli screenshot e i nomi che sono circolati online erano spesso simili, il che poteva farmi pensare che fossero gli stessi diffusi e prelevati dal post social di un’unico «utente zero». Una pista che però potrebbe essere smentita dal fatto che circolano altri screenshot e fotografie con i dati degli stessi profili, come quello di «Bruno A.» presente nelle seguenti due immagini:
Arriviamo, dunque, a una possibile spiegazione. Tenuto conto che il sito dell’Inps in questi giorni è stato sovraccaricato dalle numerose visite dei cittadini italiani a seguito delle misure poste per l’emergenza Coronavirus, che soluzione poteva essere adottata per evitare disservizi continui dell’infrastruttura? Un sistema di caching.
L’uso della cache è utile a ridurre il carico dei server garantendo agli utenti la navigazione, ma questo sistema non conviene per la gestione di un pannello come quello dell’Inps dove gli utenti devono interagire utilizzando il proprio profilo personale con il sistema stesso. Al fine di offrire il servizio ci deve essere alla base un sistema dinamico, ma la cache è un sistema che fornisce all’utente una navigazione statica a seguito del salvataggio di una «copia di cache» fruibile a più persone in maniera fluida e leggera. Un ulteriore indizio che porta a questa possibilità è l’URL che vediamo nella barra degli indirizzi utile ad accedere a determinate aree del portale è lo stesso.
Essendoci un unico URL per tutti per accedere a un’area del portale il sistema di cache potrebbe aver salvato una «copia di cache» dell’utente «Bruno A.» per poi fornirla agli utenti che riescono a superare l’area di login. Cerchiamo di spiegarlo con estrema semplicità con lo schema sotto riportato:
In pratica, «Bruno A.» è il primo ad accedere e la pagina che gli viene fornita dal server viene salvata in forma statica attraverso il sistema di cache. Se «Bruno A.» proverà di nuovo ad accedere a quella pagina riceverà il salvataggio in cache della sua visita. Se ad accedere in seguito è l’utente «Marzia» il sistema individuerà una richiesta di accesso a quella stessa pagina fornendole il salvataggio statico effettuato in precedenza dalla visita di «Bruno A.» con tutti i suoi dati.
Negli screenshot sopra riportati notiamo che i nomi cambiano al cambiare della pagina del pannello dell’Inps. Dunque, mettiamo caso che l’utente che li ha fatti sia riuscito a loggarsi per poi accedere alla pagina del profilo salvata dal sistema di cache dopo la visita di «Bruno A.». Entrando poi nell’area «La tua posizione Fiscale» si è ritrovato il nome di «Marzia» che evidentemente era riuscita ad accedere per prima facendo salvare la copia di cache della sua visita rendendola disponibile agli altri utenti. A fornire un ulteriore spinta verso l’utilizzo errato della cache per il sito dell’Inps è il seguente messaggio che troviamo nella homepage del sito Inps.it al momento non disponibile:
Al fine di consentire una migliore e piu’ efficace canalizzazione delle richieste di servizio, il sito è temporaneamente non disponibile. Si assicura che tutti gli aventi diritto potranno utilmente presentare la domanda per l’ottenimento delle prestazioni.
In questo messaggio non si parla di un «attacco hacker». Il tecnico che lo ha scritto parla di «canalizzazione delle richieste di servizio» facendo chiaramente intendere che il problema era quello delle troppe visite e delle troppe richieste effettuate dagli stessi utenti in poco tempo. Una possibilità, quella della cache, che viene considerata anche da altri esperti del settore come Matteo Flora e Massimo Simbula che in un video spiegano anche il problema legato al GDPR.
Leggi anche:
- Coronavirus, via libera alla passeggiata del genitore col figlio piccolo. E il Viminale precisa: «Jogging ammesso» – La circolare
- Tornano a crescere i contagi di Coronavirus: 2.107 nuovi positivi, ma con +6mila tamponi. 837 morti in un giorno – Il bollettino della Protezione civile
- Numeri incoraggianti in Lombardia: in calo contagi (+1.047) e morti (+381). In negativo saldo pazienti in terapia intensiva
- I numeri in chiaro. Il fisico Sestili: «I trend stanno migliorando sensibilmente» – La videointervista
- Renzi: «Studenti a scuola a maggio e subito prestiti a tasso zero alle partite Iva» – L’intervista
- Speranza al Senato: «Confermato il lockdown fino al 13 aprile»
- Coronavirus, operaio Usa licenziato da Amazon per aver organizzato uno sciopero contro la mancanza di sicurezza
- Ma a Napoli c’è anche un’eccellenza nella lotta contro il Coronavirus: il Cotugno
- Coronavirus, infermieri eroi? Sì, ma con stipendi miseri. E per chi lavora in terapia intensiva l’indennità è di 28 euro al mese
- Coronavirus, un raggio di sole su Bergamo. L’ospedale di alpini e volontari finito in 7 giorni: «La gente come noi non molla mai» – Il video
- Aumentano i nuovi positivi in Italia di 2.937 casi di Coronavirus, ma con quasi 35 mila tamponi in più. Calano i morti: 727 in un giorno – Il bollettino della Protezione civileù
- Coronavirus, i numeri della Lombardia: 1565 contagi e 394 morti in più rispetto a ieri. 1342 persone in terapia intensiva
