Sito dell'Inps in tilt: il governo incolpa gli hacker, gli esperti lo escludono

Sarebbero stati alcuni attacchi hacker a mandare in tilt il sito dell'Inps questa mattina. Oggi si è aperta la procedura per la richiesta del bonus che il Cura Italia destina agli autonomi e dopo una partenzia apparentemente normale, si è creato il caos. Scambi di persona, pubblicazione dei dati privati degli utenti: insomma, il sito non ha retto gli accessi ed è andato in tilt. "Abbiamo ricevuto nei giorni scorsi, e anche stamattina, violenti attacchi hacker. Questa mattina si sono sommati ai molti accessi, che hanno raggiunto le 300 domande al secondo, e il sito non ha retto. Per questo abbiamo ora sospeso il sito'', ha spiegato il presidente Inps, Pasquale Tridico. Attacchi hacker, quindi. Una tesi sostenuta anche dal premier Giuseppe Conte che ha dichiarato che i problemi registrati dal sito Inps sono legati all'hackeraggio.

Dopo una nottata tranquilla, con "300mila domande regolari dall'una di notte alle 8.30 circa", ha spiegato Tridico, è scoppiato il caos. Alcuni utenti hanno cominciato a riscontrare problemi di accesso, altri invece sono stati indirizzati su profili di estranei. Risultato? Il sito è stato chiuso al pubblico. Tridico ha poi assicurato che il portale sarà presto riaperto, sebbene "con una modalità diversa: la mattina, dalle 8 alle 16, a patronati e consulenti, dalle 16 in poi anche ai cittadini".

Ma l'ipotesi di hackeraggio sostenuta da Tridico e dal governo non convince. "È poco probabile che i problemi del sito dell'Inps siano stati causati da un attacco hacker, anche perché di attacchi hacker di questo tipo finora non ce n'è mai stata traccia". Ne è convinto Matteo Flora, imprenditore e informatico. "Più facile invece che si sia trattato di un errore di programmazione della memoria cache del sito - ha spiegato all'Agi -. La cosa che ritengo più probabile è che qualcuno abbia attivato un meccanismo di memoria cache per aiutare il sito che in quelle ore faticava a stare online". In poco tempo infatti, il portale è stato sommerso di richieste. "Con la cache, invece di chiedere tutte le volte al server le informazioni per 'comporre' le pagine dei moduli da compilare, sovraccaricando ulteriormente il sistema, si tengono in memoria alcune 'parti' delle richieste".

"Qualcuno - ha continuato Flora - deve aver messo in cache anche le pagine degli utenti autenticati nel sito nell'Inps o per lo meno le sessioni autenticate. Quindi chi è entrato per primo ha caricato i suoi dati, ma questi sono stati memorizzati, e l'utente successivo li ha potuti vedere come se fossero i suoi. Si tratta di decine, forse centinaia di migliaia di dati personali di utenti che sono stati esposti ad altre persone". Questo errore di programmazione sarebbe piuttosto comune. "Chiunque abbia mai programmato un sistema di cache ha fatto questo errore. Ma si tratta di un errore che generalmente viene fatto e individuato in fase di progettazione del sito, non quando si è online".

L'informatico ha spiegato di non poter escludere un qualche tipo di attacco, ma ritiene poco probabile questa spiegazione. "Al momento non si hanno notizie di altri attacchi hacker di questo tipo - ha sottolineato -. Anche perché sarebbe un attacco hacker un po' senza senso: non sono stati stati rubati dei dati, ma si sono esposti dati di utenti ad altri utenti. E poi c'è da dire che tutti i siti sono quotidianamente oggetto di attacchi hacker di qualche tipo, ma sono cose che tutti già mettono ampiamente in conto e hanno sistemi per difendersi".

Su Twitter è poi apparso un messaggio da parte di Anonymous che smentisce di aver avuto un ruolo nel crash informatico.

Caro @INPS_it, vorremmo prenderci il merito di aver buttato giù il vostro sito web, ma la verità è che siete talmente incapaci che avete fatto tutto da soli, togliendoci il divertimento! #INPS #Hacked #Anonymous #LulzSecITA #GDPR pic.twitter.com/Cgz8PWYUTC

— Anonymous Italia (@Anon_ITA) April 1, 2020