Occhio alla truffa SPID: i criminali hanno scoperto un modo per sfruttare dei bachi del sistema

[Redazione di Hardware Upg]

Link alla notizia: https://edge9.hwupgrade.it/news/secu...ma_137301.html

Il sistema di identità digitale SPID ha un serio problema: è possibile creare più di un'identità digitale appoggiandosi a differenti provider. Questo consente ai criminali di creare falsi profili SPID semplicemente usando documenti di identità trovati sul dark web

Click sul link per visualizzare la notizia.

[Opteranium]

a me sembra un ENORME problema, per la serie defective by design. Come se si potesse avere più carte di identità, ognuna rilasciata da un diverso Comune, ma stiamo scherzando?
Già il fatto di assegnare a dei privati una cosa che dovrebbe essere statale per definizione è un'assurdità.
E nessuno all'inizio ha avuto da ridire su questa possibilità aberrante..?
Io davo per scontato che esistesse quantomeno un database condiviso delle identità fra i gestori per impedire i doppioni. Invece si può fare DI DEFAULT. Pazzesco..

[megthebest]

Quote:

Originariamente inviato da Opteranium

a me sembra un ENORME problema, per la serie defective by design. Come se si potesse avere più carte di identità, ognuna rilasciata da un diverso Comune, ma stiamo scherzando?
Già il fatto di assegnare a dei privati una cosa che dovrebbe essere statale per definizione è un'assurdità.
E nessuno all'inizio ha avuto da ridire su questa possibilità aberrante..?
Io davo per scontato che esistesse quantomeno un database condiviso delle identità fra i gestori per impedire i doppioni. Invece si può fare DI DEFAULT. Pazzesco..

in effetti è decisamente allarmante questa cosa.

[Spyto]

Ma state scherzando? è un bug immenso e solo adesso ce ne siamo accorti?
A quanto leggo non ce nessun modo per difendersi anzi è il peggio del peggio.

[Zanzar8]

Quote:

Originariamente inviato da Spyto

Ma state scherzando? è un bug immenso e solo adesso ce ne siamo accorti?

E' sempre stato così.

Se un gestore ti dà problemi, puoi sostituirlo con un altro attivando un nuovo account collegato alla tua identità. Il "bug" non sta nel sistema in sé, ma nella facilità con cui i gestori accettano il riconoscimento.

[Soul_to_Soul]

Non è possibile che non ci sia un database condiviso, su.
Può essere possibile che un altro gestore certifichi lo SPID ma dopo che l'altro ha mollato la gestione, non si può concepire due gestioni parallele e parimenti operative...

[zbear]

Ennesima dimostrazione che TUTTO quello che viene dalla pubblica amministrazione viene fatto e studiato da dei perfetti IMBECILLI. Sembra che lo stato sia il rifugio di cretini e disadattati, incapaci di pensiero logico .....

[Soul_to_Soul]

Passi anche che non ci sia il database condiviso.
Ma se a nome di un soggetto risulta attivato uno SPID, quanto meno per il secondo lo convochi obbligatoriamente in presenza o sconfini nella negligenza.

[aqua84]

Io non lo sapevo e non ci ho nemmeno provato ma pensavo fosse OVVIO che se ho un profilo SPID con Poste Italiane non ne posso fare un altro con un provider diverso.
A meno di non disattivare e/o eliminare quello con Poste.

[Saturn]

Rimango scioccato e basito.

Fermo restando tutta la faccenda dell'autenticazione ingannata da video generati da intelligenza artificiale e quant'altro è da DEMENTI non prevedere un qualsivoglia meccanismo di verifica più stringente in caso di attivazioni multiple.

Bah !

[DelusoDaTiscali]

La vigna dei coglioni

l' amministrazione pubblica italiana.

[aqua84]

Non ho capito poi il “Occhio alla truffa”

Da cittadino è IMPOSSIBILE difendersi se qualcuno apre parallelamente un altra identità digitale.
Anzi, già sarebbe tanto scoprirlo in tempo.

[AlPaBo]

Lo SPID serio (livello 2, quello utilizzato per esempio per la sanità, e 3 che richiede il riconoscimento a ogni utilizzo) richiede che alla creazione dell'account l'utente sia riconosciuto di persona.

Non basta quindi mostrare una Carta di Identità, ma bisogna andare di persona o, per solo alcuni provider, utilizzare una connessione video interattiva. Per la carta di identità semplicemente non è previsto il riconoscimento telematico, e scommetto che alcuni si lamentano della necessità di andare di persona in comune.

Per cui non c'è nessun motivo per considerare un problema quello scritto nella notizia. Ci sono solo tre casi in cui può rivelarsi un rischio potenziale:

1. Come qualcuno ha già scritto se il provider non segue la normativa; nel qual caso si tratta di un difetto del provider, non dello SPID.
2. Se si riuscisse a creare con l'IA una connessione interattiva simulando voce e aspetto della persona; problema non prevedibile al momento della progettazione ed effettivamente poco significativo; il sistema è stato utilizzato per rubare a banche decine di milioni, l'impegno per uno SPID sarebbe come usare un cannone per prendere un passero: ricordo che nessun sistema è sicuro, e si cerca sempre un compromesso tra la difesa e il valore di ciò che si vuole difendere. Vedo che spesso gli interlocutori di queste notizie assumono un atteggiamento del tipo o tutto o niente; ahimè, il mondo non è così.
3. Naturalmente potrebbero esistere dipendenti infedeli che generano SPID falsi a pagamento; ma lo stesso vale per ogni sistema di riconoscimento: avendo per esempio un contatto "giusto" al Ministero degli Interni immagino tu possa avere una carta di identità falsa (non è la tua) ma vera (fatta con la tecnologia dello stato).

Io ho due account SPID e lo trovo comodo in quanto se ho un problema con una, uso l'altra.

In quanto all'affermazione che bisognerebbe creare un database unico, risolverebbe ben pochi problemi in quanto da una parte la possibilità di avere più account è definita per design (record duplicati) e dall'altra esistono milioni di persone che non hanno mai preso lo SPID (record mancanti), per cui sarebbe banale per un hacker generare migliaia di account legati a questi ultimi.

Diciamo che tutto l'allarmismo che vedo è ingiustificato. Il fatto è che qualcuno ama parlare male del pubblico a prescindere.

[Raven]

Quote:

Originariamente inviato da aqua84

Io non lo sapevo e non ci ho nemmeno provato ma pensavo fosse OVVIO che se ho un profilo SPID con Poste Italiane non ne posso fare un altro con un provider diverso.
A meno di non disattivare e/o eliminare quello con Poste.

Io ormai da anni ho due SPID con due diversi provider (metti che uno non funziona in quel momento)...
Pensavo che la cosa fosse di pubblico dominio...


ps: a questo punto, sarebbe meglio che ognuno lo crei con OGNI provider esistente (così si il legittimo proprietario sfrutta lui la possibilità e nessun altro può più farlo)...

[Mparlav]

Ho la Spid e la Cie, non vedo oggi la ragione di avere 2 Spid con provider diversi.

[barzokk]

Quote:

Originariamente inviato da AlPaBo

Diciamo che tutto l'allarmismo che vedo è ingiustificato. Il fatto è che qualcuno ama parlare male del pubblico a prescindere.

Visto che lo SPID è imposto dallo stato,
almeno mandare una cazzo di raccomandata a spese dello stato ad ogni creazione di un account sarebbe il minimo.

Perchè le cazzo di raccomandate, quando devono prendere dei soldi, le mandano eccome

[lucabis]

Bravi ad aver fatto lo spid, tutte le cose digitali hanno dei bug, specialmente quelle create dallo stato, tanto i dati sensibili sono i vostri😂😂😂😂

[AlPaBo]

Quote:

Originariamente inviato da barzokk

Visto che lo SPID è imposto dallo stato,
almeno mandare una cazzo di raccomandata a spese dello stato ad ogni creazione di un account sarebbe il minimo.

Perchè le cazzo di raccomandate, quando devono prendere dei soldi, le mandano eccome

Guarda che i provider dello SPID non sono tenuti a comunicare allo stato chi lo ha richiesto. Non hai notato per esempio che tutte le volte che usi lo SPID (e anche la CIE) ti vengono segnalate quali sono le informazioni comunicate al sito che lo richiede? E tu devi confermare.

Per cui, lo stato non ti può mandare una raccomandato (o qualunque altra informazione) in quanto il responsabile dei tuoi dati è il provider. Semmai, potresti chiedere che la legge venga modificata per costringere il provider a mandare lui una raccomandata. Naturalmente questo inciderebbe sui costi dello SPID, e immagino che come molti italiani tu voglia servizi eccezionali a costo nullo.

Il problema, se vuoi, deriva proprio dal fatto che all'epoca c'era l'idea perversa che il privato fosse sempre meglio del pubblico, per cui si decise di farlo con provider privati che soddisfacessero certe caratteristiche. A questo punto dimmelo tu: sei uno di quelli che ritengono che si debba privatizzare tutto? da quello che chiedi sembra che tu voglia invece una maggiore presenza del settore pubblico.

[AlPaBo]

Quote:

Originariamente inviato da lucabis

Bravi ad aver fatto lo spid, tutte le cose digitali hanno dei bug, specialmente quelle create dallo stato, tanto i dati sensibili sono i vostri😂😂😂😂

Vediamo un po' le più grandi fughe con oltre un milione di dati personali daal 2008 al 2016 (da Data breach, dove ne puoi trovare molte altre che non ho voglia di scrivere qui):

2008
Country Financial 2,5 milioni di dati (privato)
2009
RockYou 32 milioni (privato)
Heartland Payment Systems 100 milioni (privato)
2011
Sony 77 milioni (privato)
2013
Adobe 130 milioni (privato)
Target corporation 70 milioni (privato)
Yahoo! 400 milioni (privato)
2014
Home Depot 56 milioni (privato)
2015
Tal Talk 4 milioni (privato)
Ashley Madison 37 milioni (privato)
Anthem 80 milioni (privato)
US Office Personal Management 22 milioni (finalmente uno pubblico, però US)
2016
Yahoo 500 milioni (successivamente incrementato a 3 miliardi) (privato)
Equifax 150 milioni (privato)
ecc. ecc.

Se vuoi posso continuare, ma credo che la tua affermazione «tutte le cose digitali hanno dei bug» sia confermata, mentre temo che non stia in piedi la frase «specialmente quelle create dallo stato». Ma sai, la burocrazia serve anche a mantenere la sicurezza dei dati, anche se molti la criticano.

Come ho detto in un altro commento, lo SPID venne privatizzato da gente che la pensava come te. Ora lo farebbero diversamente: non a caso la CIE è effettivamente e giustamente gestita dallo stato.

[miram]

Il problema permarrà fino alla eliminazione del metodo SPID...
Ho appena fatto richiesta della CIE e spero che trovino un sistema per non autorizzare il mio CF su altri SPID per esempio!