Bonus 600 euro: il sito INPS viola la privacy. Accedendo si visualizzano i profili di altri contribuenti

[Redazione di Hardware Upg]

Link alla notizia: https://edge9.hwupgrade.it/news/secu...nti_88253.html

Il sito dell'INPS, preso d'assalto per ottenere il bonus di 600 euro dedicato alle partite IVA, ha dei seri problemi di sicurezza. Molti utenti segnalano che dopo il login hanno avuto accesso al profilo di altre persone

Click sul link per visualizzare la notizia.

[bagnino89]

La digitalizzazione in Italia:

Che vergogna... I vertici dell'INPS sarebbero da licenziare, senza dargli la pensione, però.

[Jack.Mauro]

Certo che per incasinarsi la tabella delle sessioni, il sito deve aver avuto veramente tante ma tante visite......

Fossi il gestore del sito spegnerei tutto e farei una bella pulizia prima di riaccendere...

[dirac_sea]

Quote:

Originariamente inviato da Jack.Mauro

Certo che per incasinarsi la tabella delle sessioni, il sito deve aver avuto veramente tante ma tante visite......

Fossi il gestore del sito spegnerei tutto e farei una bella pulizia prima di riaccendere...

Hehe, è un attacco su due fronti quello che li ha messi in crisi. Da una parte l'esercito dei veri disperati. Dall'altro quello dei parassiti perennemente alla ricerca di sostentamento e abilissimi nello sfruttare le occasioni offerte.

Quote:

Originariamente inviato da bagnino89

Che vergogna... I vertici dell'INPS sarebbero da licenziare, senza dargli la pensione, però.

Invece non saranno licenziati ma riceveranno un encomio e forse pure un bonus per aver lavorato in questo periodo, e la pensione naturalmente la percepiranno e sarà pure bella robusta, alla facciaccia nostra

[Darkon]

Quote:

Originariamente inviato da bagnino89

La digitalizzazione in Italia:

Che vergogna... I vertici dell'INPS sarebbero da licenziare, senza dargli la pensione, però.

Ma che vuoi che c'entrino i vertici dell'INPS???

Se anche fossero persone competenti questi servizi vengono affidati con gara a ditte esterne che realizzano il software e la manutenzione. Detto ciò non fa notizia perché non è così evidente ma di falle di questo tipo ne ha anche la tua banca.

Dici che non so qual è? Non importa... perché semplicemente è così per tutte. Poi non te ne accorgi ripeto ma rimane il fatto che la privacy vera è praticamente irraggiungibile così come è impossibile il software perfetto senza nessun bug.

[Silent Bob]

io so solo che avendo aiutato mio padre spesso ad entrarci, la grafica attuale che ha il sito dell'inps è uno schifo.

Prima era molto più semplice e pratico cercare quel che ti serve, invece hanno fatto questa miglioria grafica che è un bordello è ci vuole un pò per prenderci la mano.

Insomma, già un lavoro da schifo in più il problema di privacy, con molti che ne avranno aprofittato per impicciarsi degli affari degli altri.

[Opteranium]

Com'è possibile che un'elevato traffico vada a sputtanare l'autenticazione? Al massimo non dovrebbe farti entrare, ma entrare su profili altrui.. boh, mi sembra assurdo

[s-y]

io stamattina presto fatto tutto in 15 min
se ci provo altre 100 volte non ci riesco

ad ogni modo è anche l'effetto della comunicazione equivoca... fino a ieri pomeriggio indicavano che per la graduatoria incideva anche l'ordine delle richieste, aspetto poi smentito solo a poche ore dall'inizio, che non è difficile immaginare abbia lasciato incertezza, se poi ci si aggiunge la nostra 'eh ma metti che...' frittata fatta

ovviamente il tutto al netto della evidente inadeguatezza dell'infrastruttura

a questo punto ci starebbe anche che annullino tutto cmq. con molto pollame che ancora non ha smesso di sganasciarsi

[tallines]

Aaaaaaanamo bene...............

[Jack.Mauro]

Quote:

Originariamente inviato da Opteranium

Com'è possibile che un'elevato traffico vada a sputtanare l'autenticazione? Al massimo non dovrebbe farti entrare, ma entrare su profili altrui.. boh, mi sembra assurdo

Tutti i principali linguaggi di sviluppo lato server (.net, php, java, ecc) utilizzano le sessioni, ovvero l'accoppiata di un cookie con un'area di memoria/file/database in cui memorizzare dati lato server e "condividerli" tra una pagina e l'altra del sito.
In alcuni casi è possibile che si imputtani l'associazione tra cookie e sessione, incrociando quindi le richieste di un utente con quelle di un altro....

[AceGranger]

Quote:

Originariamente inviato da s-y

ad ogni modo è anche l'effetto della comunicazione equivoca... fino a ieri pomeriggio indicavano che per la graduatoria incideva anche l'ordine delle richieste, aspetto poi smentito solo a poche ore dall'inizio, che non è difficile immaginare abbia lasciato incertezza, se poi ci si aggiunge la nostra 'eh ma metti che...' frittata fatta

l'INPS non ha mai indicato una cosa del genere e ne lasciato intendere cio, anzi, nell'intervista al presidente dell'INPS di settimana scorsa diceva espressamente che non ci sarebbe stato il click day, che tutte le richieste sarebbero state evase e che nessuno sarebbe rimasto senza.

ma come si sa la popolazione è mediamente stupida e che sarebbe successo cio.

Quote:

Originariamente inviato da s-y

ovviamente il tutto al netto della evidente inadeguatezza dell'infrastruttura

a questo punto ci starebbe anche che annullino tutto cmq. con molto pollame che ancora non ha smesso di sganasciarsi

l'infrastruttura non centra un caz, non è inadeguata, hanno solo sbagliato a gestire al situazione.

è IMPENSABILE avere un'infrastruttura parametrata per reggere un picco piu unico che raro come questo; dovevano semplicemente fare come con le pensioni, i primi giorni dividere per cognomi e poi aperto a tutti quelli che non erano riusciti a farlo i primi giorni.

[s-y]

Quote:

Originariamente inviato da AceGranger

l'INPS non ha mai indicato una cosa del genere e ne lasciato intendere cio, anzi, nell'intervista al presidente dell'INPS di settimana scorsa diceva espressamente che non ci sarebbe stato il click day, che tutte le richieste sarebbero state evase e che nessuno sarebbe rimasto senza.

ma come si sa la popolazione è mediamente stupida.

in realtà c'era un'indicazione equivoca nelle istruzioni, che è stata rimossa poche ore prima dell'inizio...
senza dubbio molti hanno affollato pensando che ancora contasse, il momento della richiesta...

quanto alla valutazione sulle capacità della popolazione, mettiamo pure che sia così... ma sarebbe un motivo in più per fare particolare attenzione alle comunicazioni...

se poi conta come prova quello che dice il presidente, oggi ha parlato anche di attacchi hacker come causa, per poi lasciar perdere e ammettere che il carico era troppo alto. in altre parole, non mi pare così affidabile, lato dichiarazioni [edit]: forse era l'inverso, cronologicamente, ma il concetto resta [/edit]

Quote:

l'infrastruttura non centra un caz, non è inadeguata, hanno solo sbagliato a gestire al situazione.

mm, sul problema dei dati personali a uecchia, anche fosse stato causato dal carico, non dovrebbe succedere e basta. sul resto concordo

Quote:

è IMPENSABILE avere un'infrastruttura parametrata per reggere un picco piu unico che raro come questo; dovevano semplicemente fare come con le pensioni, i primi giorni dividere per cognomi e poi aperto a tutti quelli che non erano riusciti a farlo i primi giorni.

[WarDuck]

Quote:

Originariamente inviato da AceGranger

l'INPS non ha mai indicato una cosa del genere e ne lasciato intendere cio, anzi, nell'intervista al presidente dell'INPS di settimana scorsa diceva espressamente che non ci sarebbe stato il click day, che tutte le richieste sarebbero state evase e che nessuno sarebbe rimasto senza.

ma come si sa la popolazione è mediamente stupida e che sarebbe successo cio.



l'infrastruttura non centra un caz, non è inadeguata, hanno solo sbagliato a gestire al situazione.

è IMPENSABILE avere un'infrastruttura parametrata per reggere un picco piu unico che raro come questo; dovevano semplicemente fare come con le pensioni, i primi giorni dividere per cognomi e poi aperto a tutti quelli che non erano riusciti a farlo i primi giorni.

Mah, non so esattamente che infrastruttura utilizzino, spero almeno che abbiano messo in piedi una infrastruttura tipo cloud statale.

In tal caso esistono tecniche di elastic scaling per gestire le tante richieste.

Richieste che puoi prevedere quante saranno perché se sei l'INPS ti saresti dovuto fare i tuoi calcoli.

Dopodiché l'incasinamento delle sessioni a me sa tanto di sito progettato male .

Le dichiarazioni ufficiali sono di un attacco hacker

Insomma, alla fine come sempre è colpa degli italiani che sono stupidi perché avrebbero dovuto mettersi in fila come nel più classico degli sportelli INPS

Meglio che mi auto-censuro và

[aqua84]

anche a voi oggi non si apre il sito dell'INPS?

[zappy]

Quote:

Originariamente inviato da Jack.Mauro

Tutti i principali linguaggi di sviluppo lato server (.net, php, java, ecc) utilizzano le sessioni, ovvero l'accoppiata di un cookie con un'area di memoria/file/database in cui memorizzare dati lato server e "condividerli" tra una pagina e l'altra del sito.
In alcuni casi è possibile che si imputtani l'associazione tra cookie e sessione, incrociando quindi le richieste di un utente con quelle di un altro....

grazie della spiegazione tecnica anche se generica

Quote:

Originariamente inviato da Opteranium

Com'è possibile che un'elevato traffico vada a sputtanare l'autenticazione? Al massimo non dovrebbe farti entrare, ma entrare su profili altrui.. boh, mi sembra assurdo

non ne so un tubo, ma posso immaginarmi sulla base di quanto scritto da Jack uno scenario in cui la tabella che tiene traccia delle persone loggate si riempie (tipo overflow) e quindi viene riscritta a partire dalla prima riga, x cui finisci nella sessione di un altro...
non so eh, ipotizzo solo e NON ho nessuna particolare competenza avanzata di DB e login web.

ovviamente la cosa NON deve succedere ed è gravissimo, e qualche testa dovrebbe saltare.

[Gabro_82]

Credo di essere stato il primo ad accedere all'una di notte.
Praticamente sono stato collegato online circa 15 a refreshare la pagina dedicata,
e all'1 di notte spaccata e stato possibile accedere inserendo l'iban.
Ho anche la ricevuta di avvenuta richiesta, fortunato

Era da prevedere il collasso comunque, assurdo il login negli altri profili.

[zappy]

Quote:

Originariamente inviato da Gabro_82

Credo di essere stato il primo ad accedere all'una di notte.
Praticamente sono stato collegato online circa 15 a refreshare la pagina dedicata,
e all'1 di notte spaccata e stato possibile accedere inserendo l'iban.
Ho anche la ricevuta di avvenuta richiesta, fortunato

Era da prevedere il collasso comunque, assurdo il login negli altri profili.

aspetta, magari viene versata sul conto di qualcun altro...

[Gabro_82]

Quote:

Originariamente inviato da zappy

aspetta, magari viene versata sul conto di qualcun altro...

Madooo è vero!
[paranoia=on]

[R@nda]

Scusate la domanda banale, non sono stato lì a guardare troppo poichè comunque non rientro nella categoria.

Ma come fanno a stabilire che in coda ci sia gente che ne ha bisogno realmente?
Spero ci abbiano pensato, altrimenti prevedo una lunga fila di gioiellieri e dentisti bisognosi (è un esempio) o di vari furboni.

[Gabro_82]

Quote:

Originariamente inviato da R@nda

Scusate la domanda banale, non sono stato lì a guardare troppo poichè comunque non rientro nella categoria.

Ma come fanno a stabilire che in coda ci sia gente che ne ha bisogno realmente?
Spero ci abbiano pensato, altrimenti prevedo una lunga fila, di gioiellieri e dentisti bisognosi (è un esempio) o di vari furboni.

Ci sono delle categorie, io sono nella categoria AGO facendo parte di ristorazione. Non credo c'entrino i dentisti o gioiellieri.