È successo il prevedibile disastro dell’INPS: milioni di dati sensibili esposti

Nel 2019 l’INPS mostrava in un video i suoi potenti e rinnovati datacenter, gli stessi che oggi sono al centro di un data leak che potrebbe essere uno dei peggiori della storia.

Si sapeva che sarebbero pervenute milioni di richieste contemporanee ai server dell’INPS e si sapeva come gestire la situazione: esistono strumenti solidi per la gestione di grandi volumi di traffico dati, eppure è successo.

È successo quello che tutti gli informatici speravano non succedesse: la divulgazione di milioni di informazioni sensibili.

Ma cosa è accaduto nel dettaglio?

Perché è accaduto?

Era prevenibile?

Cercheremo di rispondere a queste domande.

In campo informatico si sa che quanto si corre contro il tempo si rischia di commettere costosi errori, incalcolabili in questo caso.

Il portale dell’INPS costruito in fretta e furia per il bonus di 600 euro ha fin da subito ricevuto volumi impressionanti di traffico, tanto da non riuscire a soddisfare la maggior parte delle richieste.

Quella che segue è la probabile ricostruzione di quanto avvenuto: l’istituto dovrà fornire al Garante della Privacy un report dettagliato sull’incidente e su come è stato fronteggiato, e avvisare gli utenti, pena una multa fino a 20 milioni di euro che probabilmente sarebbe a carico dei cittadini.

Per fronteggiare un sovraccarico ci sono vari strumenti, uno di questi è quello adottato dall’INPS, la cache: salvare in una memoria veloce (RAM) i dati comuni (le vari sezioni del portale e la loro struttura) e cambiare solo le sezioni della pagina che dipendono dall’utente.

Tuttavia, in uno sciagurato errore ogni utente dopo ogni azione compiuta sul portale vedeva la pagina con i dati dell’utente precedente, invece della pagina base.

Lo stesso errore capitò al celeberrimo portale “Steam” nel natale 2015: a fronte di ingenti download di giochi esposero accidentalmente i dati degli utenti, comunque meno sensibili di quelli del nuovo sito.

Parliamo di dati come reddito e indirizzo di residenza.

Ora ci tocca sperare che nessun malintenzionato abbia scaricato terabytes di dati rivendibili a buon mercato sul Deep Web.

Invece di risolvere il problema all’ itagliana [sic] gli informatici potrebbero aver usato una delle decine di programmi gratis e open source che sono disponibili a chiunque e che mitigano in maniera efficace il traffico intenso.

Le pubbliche amministrazioni spesso si dimostrano poco ferrate in sicurezza informatica, ma oggi hanno servito i dati dei cittadini su un piatto d’argento.

Ormai tutto questo è storia, vedremo cosa accadrà.

Tutto questo è spiegato in un interessante video di Matteo Flora.