Tutti online per il bonus di 600 euro. Ma il sito dell'Inps va in tilt e mostra i dati personali degli utenti
Loggandosi con le proprie credenziali il portale dell'Istituto mostra codici fiscali, nomi e contatti di altri iscritti. Il presidente Tridico si giustifica: “Riceviamo 100 domande al secondo”. Per il Garante della privacy è un "gravissimo data breach"
Sembra un pesce d'aprile, ma non lo è. È appena passata la mezzanotte quando gli utenti, online per presentare la domanda per ottenere il bonus di 600 euro a sostegno di partite Iva e autonomi colpiti dall'emergenza coronavirus prevista dal decreto Cura Italia, iniziano a segnalare che il portale dell’Inps era andato in tilt. Col passare delle ore la situazione peggiora e il sito va in down.
Il Foglio ha provato ad accedere alla pagina web dell'Istituto di previdenza e in effetti i tempi di risposta sono molto lunghi, in alcuni momenti è addirittura impossibile raggiungerlo. Lo stesso presidente dell’Inps, Pasquale Tridico, parlando con l'Ansa, ha riconosciuto che ci sono dei problemi: “Dall’una di notte alle 8.30 circa, abbiamo ricevuto 300 mila domande regolari. Adesso stiamo ricevendo 100 domande al secondo. Una cosa mai vista sui sistemi dell’Inps che stanno reggendo, sebbene gli intasamenti sono inevitabili con questi numeri”. Peccato che l'inedito affollamento sulla pagina web dell'Istituto era piuttosto prevedibile.
Ieri, infatti, sul sito veniva specificato, nelle istruzioni, che, per ogni categoria di lavoratore coinvolto, "l'Inps riconosce l'indennità in base all'ordine cronologico di presentazione delle domande" a causa dei limiti di spesa complessivi imposti dal decreto Cura Italia (3 miliardi). In sintesi il messaggio implicito era: affrettatevi, c'è il rischio che non ci siano soldi per tutti. L'avviso è stato messo online prima dell'apertura delle domande ed è stato rimosso in seguito ai primi problemi riscontrati dal portale. Una rimozione tardiva evidentemente.
Il sito dell'INPS è messo benissimo (no, non sono io questo tizio e sì, ero entrato con le mie credenziali). pic.twitter.com/ZwU2VxQ9Jh
— Claudio Della Ciana (@cdellaciana) April 1, 2020
Ma c'è un altro problema, ancora più grave: come mostra il nostro video, cercando di raggiungere My Inps, l'area personale sul sito dell'Istituto alla quale normalmente si accede attraverso il proprio username e password, abbiamo potuto accedere alle pagine private di terze persone. Ad ogni aggiornamento, la nuova pagina mostrava i dati personali di un altro iscritto: nome e cognome; data di nascita e luogo di residenza; numero di telefono e anche il codice fiscale. Non sappiamo in quanti altri casi questo bug si sia verificato, né chi sia venuto potenzialmente in possesso di quali dati. Intanto, sui social network, decine di utenti iniziano a segnalare lo stesso problema. Una breccia molto grave nella privacy di molti cittadini. "Grazie per la segnalazione che giriamo immediatamente a chi si occupa dei servizi online" scrive l'account ufficiale dell'Inps in risposta al tweet di un utente delle 10.20 di mattina. Più di un'ora dopo la falla è ancora lì. "Un data breach gravissimo", dice il Garante per la privacy, che si dice "molto preoccupato" e chiede con "assoluta urgenza che l'Inps metta in sicurezza i dati".
Ok, il sito dell'inps è totalmente in tilt. Sono entrata con le credenziali di mio marito e ci siamo ritrovati i dati di perfetti sconosciuti. Ora si che è un bel casino.
— Paola (@P10paola) April 1, 2020
“Non si può dire con certezza cosa sia successo. Ma secondo me può essere andata così: il sito ha un sistema di caching per gestire le richieste”, dice al Foglio Luca Pizzato, sviluppatore web che si occupa di sistemi informatici per la sperimentazione clinica e che, dunque, si intende di questioni di privacy e tecnologia. “In parole povere, invece di contattare sempre il database, e sovraccaricare le risorse disponibili, si creano delle copie locali e statiche che rimangono disponibili senza contattare il database. In condizioni normali questo serve a velocizzare il processo. Nei processi autorizzativi, però, che richiedono login con password private, si deve stare attenti che queste pagine statiche non vengano associate a utenti che non hanno i permessi. In questo caso, visto il sovraccarico del server, si è probabilmente potuti accedere alle pagine statiche generate da altri utenti, senza che ci sia un controllo dell'autorizzazione o login, ma anzi saltando completamente il login”. I 100 accessi al secondo con i quali ha provato a giustificarsi Tridico sono davvero tanti? "No, non sono tanti. Ma se l'infrastruttura non tiene diventano un sacco", dice Pizzato.
Un mio amico è entrato sul sito dell'@INPS_it , si è loggato con le proprie credenziali (lui si chiama Paolo G.) e gli è apparsa questa schermata.
— Alessandro Greco (@PGreco_) April 1, 2020
Va tutto benissimo. pic.twitter.com/cJxfeKrJZE
Cosa stabilisce il decreto
Il decreto del governo stabilisce che il sostegno al reddito sarà riconosciuto ai lavoratori che abbiano percepito, nell'anno di imposta 2018, un reddito complessivo non superiore a 35 mila euro o, ai lavoratori che abbiano percepito un reddito complessivo compreso tra 35 mila e 50 mila euro e abbiano cessato, ridotto o sospeso la loro attività autonoma o libero-professionale di almeno il 33 per cento nel primo trimestre 2020, rispetto allo stesso reddito del primo trimestre 2019, sempre a causa della pandemia. Ma non c'è bisogno di dare l'assalto al sito dell'Inps: “Non c'è fretta”, ha spiegato Tridico. “Come abbiamo detto più volte, le domande possono essere fatte per tutto il periodo della crisi, anche perché il governo sta varando un nuovo provvedimento sia per rifinanziare le attuali misure sia per altre”.
