INPS, il ragazzo diventato admin per caso: “Non ero l’unico a vedere quei dati”

INPS, il ragazzo diventato admin per caso: “Non ero l’unico a vedere quei dati”
791 Condivisioni

Avrete letto tutti del caos INPS, con il sito inaccessibile per il sovraccarico di utenti e un misterioso attacco hacker denunciato dallo stesso presidente Pasquale Tridico (si legge QUI). Noi di theWise Magazine abbiamo contattato Luca Tornabene, un ventiquattrenne romano protagonista in prima persona di questa disavventura. Luca è un content creator e marketer, già amministratore del gruppo Facebook L’Ordine dell’Avena Oscura, di cui abbiamo parlato non molto tempo fa. Da Luca ci siamo fatti raccontare la surreale esperienza vissuta navigando sul sito dell’ente previdenziale italiano e gli abbiamo chiesto un’opinione su quanto accaduto. Ecco cosa ci ha detto.

Ciao Luca. Cominciamo: come ti sei ritrovato a essere amministratore del sito dell’INPS?

Con un click! Mi sono semplicemente loggato con il PIN e il codice fiscale a un orario a cui ritenevo che potessero esserci meno utenti connessi, per evitare crash. Mi sono recato al link per le domande relative al bonus di 600€, ma sono per caso finito nella pagina per il bonus babysitter. Ho visto tutto quello che avrebbe dovuto essere visibile solo agli occhi degli amministratori: una pagina con la lista di tutte le domande fatte da innumerevoli utenti sul sito. Non ho dovuto fare nient’altro che cliccare sulla sezione «Vedi Elenco».

inps
Quali dati hai avuto a tua disposizione? Erano veri o creati in automatico dal sistema?

Erano 125 schede da una dozzina di richieste VERE ciascuna. Sicuramente non tutte le domande complessive, ma una quantità inquietante di dati consultabili senza la minima protezione. Montagne di dati sensibili quali: codici fiscali, IBAN, e-mail, date, luoghi di nascita, e così via. Informazioni che fanno riferimento sia ai genitori, che ai figli dei richiedenti.

Pensi di essere stata l’unica persona ad avere l’accesso a quell’immensa raccolta di dati o chiunque avrebbe potuto assumere il controllo degli admin del sito?

Penso di non essere stato l’unico, ma sinceramente non ho «bucato» nulla, mi sono limitato a constatare la presenza di una sezione a cui chiunque avrebbe potuto accedere a portata di mouse. Ho chiesto di vedere se questa falla era replicabile anche a un paio di amici: uno è riuscito a accedere alla sezione, l’altro vedeva una semplice pagina bianca. È difficile stabilire con che criterio si potesse vedere il contenuto di quella lista di richieste, ma sono sicuro che innumerevoli persone ci siano potute finire senza problemi.

L’INPS ha messo fuori uso il sito dopo qualche ora, rispondendo in ritardo al sovraccarico di accessi. Cosa ne sarà dei tuoi 600 euro? INPS sostiene di avere preso in carico mezzo milione di richieste.

Dopo aver visto quella falla madornale sulla questione bonus babysitter, ho immediatamente lasciato perdere la mia richiesta e ho fatto un video in fretta e furia per rendere noto questo problema al pubblico. Ho fatto richiesta il giorno seguente nel pomeriggio, senza particolari problemi. INPS ha promesso che il criterio non sarà più meramente cronologico, ma esteso a tutti lungo il periodo utile. Ovviamente ci si augura che mantengano la promessa, ma sappiamo tutti che i fondi sono limitati, quindi realisticamente chi sa cosa succederà? Staremo a vedere.

Il presidente dell’INPS Pasquale Tridico ha annunciato urbi et orbi che si è trattato di un attacco hacker. Quanto c’è di vero in quest’affermazione?

A mio parere assolutamente zero. Il crash del sito è dovuto alla decisione di rettificare troppo tardi l’imposizione del criterio cronologico, spingendo gran parte dei cittadini idonei a far domanda alla mezzanotte esatta del primo Aprile e mandando in tilt i server INPS, la cui capacità non era semplicemente sufficiente. Non dimentichiamo inoltre, che questa infelice serie di eventi sarebbe stata evitabile se si fossero abilitati i commercialisti a presentare le domande per tutti i propri clienti mediante i portali abilitati. Mi chiedo quale ragionamento ci sia stato dietro questa scelta, per ora quel che è certo è il risultato che c’è stato: il caos. Per quel che riguarda invece la lista di dettagli consultabili sul bonus babysitter, quella mi sembra sia stata più una svista degli sviluppatori, che hanno inconsapevolmente reso tale sezione visibile a tutti.

Chi ha programmato il sito ha usato «pippo» e «pluto» per descrivere le variabili all’interno del codice. Gli esperti del settore sostengono si tratti delle azioni di qualche principiante. Tu che idea ti sei fatto?

Confermo pienamente l’inefficienza di questo codice, non è una sorpresa che un sito così sia prono a vulnerabilità come quelle svelate negli ultimi giorni. La cosa più inquietante, secondo me, è che tutti i dati siano stati consultabili senza dover modificare o toccare nulla: tutto alla luce del sole.

Credi che la situazione creatasi col caos INPS sia circoscritta all’ente previdenziale o si tratta di un caso emblematico del sistema della Pubblica Amministrazione italiana?

Questa situazione ha origine a monte con la burocrazia incredibilmente confusa e improvvisata a cui siamo abituati in ogni ambito. Vengono garantiti appalti ad aziende che non hanno le competenze o l’interesse per garantire un prodotto finale funzionante e utile all’utente finale, anzi. Più il loro lavoro è lento e intricato, più pensano di poter giustificare il prezzo pagato dai cittadini con le tasse, in virtù del fatto che le loro settimane di lavoro si moltiplicano in mesi e anni.

791 Condivisioni

Pubblicato da Gianluca Lo Nostro

Caporedattore della sezione politica di theWise Magazine.