Il data breach che ha interessato il sito dell’INPS lo scorso primo aprile — data nella quale moltissimi utenti vi si sono collegati per richiedere bonus baby-sitter, cassa integrazione e indennità di 600 euro destinata ai lavoratori autonomi prevista dal decreto Cura Italia, e hanno visualizzato senza volerlo pagine con dati di altri utenti — è tuttora oggetto di accertamento.
Il Presidente Pasquale Tridico aveva parlato di ripetuti attacchi hacker che, uniti ai molti accessi, con picchi di 30 domande al secondo, avrebbero portato il sistema a non reggere più.
Non è però l’unica ipotesi avanzata sulla questione: l’informatico e imprenditore Matteo Flora, intervistato da AGI, ha portato l’attenzione sul caching, ossia la gestione della memoria temporanea che registra dati e istruzioni richiesti con particolare frequenza da un programma per aumentare la velocità di elaborazione, come le pagine più frequentemente richieste da un utente.
Nel caso del sito INPS, ha spiegato, è probabile che «questo meccanismo sia stato programmato includendo però anche le pagine degli utenti, o perlomeno delle sessioni, autenticati, che sono comparse sugli schermi delle altre persone». Un’ipotesi condivisa anche da David Puente su Open e da Lidia Baratta su Linkiesta.it.
La possibile responsabilità di questo meccanismo nel data breach è stata segnalata anche da Marco Paretti su Fanpage.it, il quale però riporta anche l’eventualità di un errore nell’implementazione del Content Delivery Network, servizio in cloud che permette di ridurre i tempi di caricamento, risparmiare la larghezza di banda e accelerare i tempi di risposta.
Se fosse un problema di cache, non sarebbe il primo: un precedente famoso è rappresentato dalla piattaforma di videogiochi Steam, che fu interessata da una problematica del genere nel dicembre 2015, in occasione del lancio di grandi offerte natalizie, come riporta Wired UK, con un impatto sui dati di circa 34.000 utenti.
Qualunque sia la verità, si tratta di un evento che pone l’attenzione su un tema più generale: il rapporto tra informatica e Pubblica Amministrazione.
Ogni ente pubblico è dotato di un proprio sito, anche i più piccoli municipi, che potrebbe, potenzialmente, rappresentare un ottimo strumento per velocizzare alcune pratiche burocratiche, specialmente al tempo di una pandemia globale e in quelli appena successivi, nei quali l’accesso agli uffici comunali è, ed è verosimile che continui a essere, estremamente contingentato.
In questo scenario l’utente finale deve affidarsi a un sito potendo intervenire ben poco, a livello individuale, sulla tutela dei propri dati. Sta all’istituzione affidarsi a professionalità che permettano alla piattaforma di funzionare in maniera efficiente e sicura. Tuttavia, i siti degli enti locali non sono stati immuni, negli scorsi anni, a campanelli d’allarme: nel 2018, come riportato da AGI, gli esperti di sicurezza informatica e attivisti hacker del mes3hacklab di Mestre hanno condotto un’indagine indipendente per verificare il livello di aggiornamento dei software su cui si basano le pagine istituzionali.
La ricerca ha preso in esame i tre Content Management System – piattaforme che consentono ai webmaster di gestire un sito senza conoscere i linguaggi di programmazione – più diffusi, ossia Drupal, Joomla e WordPress, e ha condotto una scansione di tutti i domini e sottodomini di 7554 dei 7954 Comuni italiani, per verificarne lo stato degli aggiornamenti, necessari per non rendersi vulnerabili a eventuali attacchi informatici. È emerso che il 67% di questi domini e sottodomini non veniva analizzato da più di un anno.
Un problema invece ancora recente riguarda l’assenza, in molti siti di Comuni capoluogo e di Province ed enti affini come le città metropolitane, di protocolli di sicurezza che permettano di crittografare i dati che l’utente invia al sito. Su 225 portali analizzati, ben 122, ossia il 54%, erano considerati non sicuri. Si può verificare facilmente se la connessione a un sito è protetta su Google Chrome, Safari o su Firefox: se a sinistra dell’URL appare un lucchetto, allora i dati inviati al sito sono cifrati.
L’assenza di crittografia potrebbe portare, un domani, a un attacco così detto “man-in-the-middle”, nei quali un utente malintenzionato intercetta i dati, come username e password, che potrebbero dare accesso a pagine che contengono dati sensibili come indirizzi, contatti e codice fiscale, e li sottrae per utilizzarli a proprio piacimento.
Articolo scritto in collaborazione con Andrea Santaniello