L’Italia ha nominato una squadra di giuristi, informatici, economisti e medici per allestire una task force contro il COVID. Settantaquattro esperti che discutono di visione strategica futura del Paese e delle tecnologie all’avanguardia per attuarla. Questo caso rappresenta al momento le parole e le promesse di un futuro migliore, ma la realtà è un’altra. All’emergenza sanitaria che oramai grazie al lockdown risulta sotto controllo, si contrappone quella economica che sfugge ancora al Governo. L’Istituto Nazionale di Previdenza Sociale ha ospitato sui suoi server le richieste telematiche di tantissimi cittadini che hanno disperato bisogno di formulare istanza per ottenere sussidi economici in questo momento dal valore vitale. Ed il risultato, qual è stato? Server giù ed un hastag polemico su Twitter in tendenza dal nome #INPSdown. Come può un server governativo venire giù dinanzi alle richieste di cittadini bisognosi in un momento di emergenza? E’ come se nessuno risponda alle chiamate del 118 in piena emergenza.
Oltre al fattore umano e sociale, la gravità della situazione sta nel fatto che il server dell’INPS è stato dotato di ulteriore banda per poter sopportare il traffico previsto, ma purtroppo la configurazione del cervellone web dell’Ente non è stata seguita a dovere ed è qui che è accaduto il vero dramma.
Più persone sono entrate simultaneamente e molti non hanno avuto accesso ai loro profili personali, bensì a quelli di altri sconosciuti. Una violazione di privacy senza precedenti per un ente governativo che custodisce dei segreti rilevanti della cittadinanza.
Abbiamo chiesto ad un esperto, che vuole restare anonimo, cosa sia realmente accaduto e lui così ci ha risposto:
“praticamente ieri sera e’ apparsa una CDN (linea di banda ad alta capacità) davanti al sito http:\\\\inps.it cosa dell’ultimo minuto credo, non l’avevo mai vista prima (e ci ho guardato di frequente negli ultimi giorni) il dubbio e’ che abbiano configurato il caching in modo errato come se le pagine del profilo fossero pubbliche (cache-control: public, o equivalente nella cdn). In sintesi, tu arrivi “primo” su quello specifico server della cdn, ti logghi e tutti gli altri che atterrano li vedono la tua pagina.”
Un errore tecnico che non deriva dalla mancanza di strumentazioni tecniche, bensì dagli errori degli informatici dell’INPS che non hanno attuato le verifiche del caso per consentire lo svuotamento in tempo reale della cache.
In giornata, per minimizzare le responsabilità dell’evento, si è data colpa agli Hacker. Gli hacktivisti italiani di LulzSec e Anonymous Italia hanno comunicato pubblicamente la loro estraneità con la verve che da sempre li contraddistingue
Caro @INPS_it, vorremmo prenderci il merito di aver buttato giù il vostro sito web, ma la verità è che siete talmente incapaci che avete fatto tutto da soli, togliendoci il divertimento! #INPS #Hacked #Anonymous #LulzSecITA #GDPR pic.twitter.com/waXvpyw8ZZ— LulzSecITA (@LulzSec_ITA) April 1, 2020