INPS, sito e privacy violati: resi accessibili migliaia di dati altrui
Sul sito Inps è stato possibile accedere a pagine e informazioni riguardanti altre persone, con nome cognome e documenti personali. Un grosso data breach che si è presentato in più occasioni fra il 31 marzo e il primo aprile.
Il sito INPS, nelle giornate del 31 marzo e del 1 aprile, è tempestato da migliaia di richieste di accesso di utenti che intendevano ottenere i bonus deliberati dal Governo come contributi economici nel contesto della gestione dell’emergenza Coronavirus. L’accesso massivo ha mandato in tilt il sistema, ma non solo.
Sono state molte le testate giornalistiche (vedasi qui, ad esempio, Repubblica o il Corriere) che hanno riportato come diversi utenti, accedendo con le proprie credenziali, si siano imbattuti in pagine che contengono dati personali – informazioni anagrafiche, fiscali e anche sensibili – riguardanti altri contribuenti. Gli elementi che stanno emergendo fanno supporre che sia avvenuto un grave data breach dovuto ad una falla della piattaforma.
Gli esperti concordano che il problema è stato probabilmente causato da un tentativo dei tecnici Inps di alleggerire il carico sul server a fronte della richiesta in massa di bonus 600 euro sul sito Inps.
In particolare i tecnici hanno staticizzato alcune pagine ma, per un errore ancora da accertare, il risultato è che sono apparsi i profili degli utenti connessi in precedenza.
Il problema si verificato in più occasioni, a quanto risulta. Non è chiaro quante persone sono coinvolte nel data breach; forse solo una piccola quantità, dato che negli screenshot che girano in rete ricorrono gli stessi nomi.
L’Inps ha “prontamente notificato il data breach al Garante per la protezione dei dati personali ed assicura che, fin dal momento in cui si è avuta conoscenza della possibilità che vi sia stata violazione di dati personali, sta assumendo tutte le misure atte a porre rimedio alla situazione di rischio, attenuare i possibili effetti negativi e tutelare i diritti e le libertà delle persone fisiche“.
Lo si legge in una informazione agli utenti sul sito dell’Inps nella quale si sottolinea che “è istituita la casella di posta elettronica violazionedatiGDPR@inps.it utilizzabile, esclusivamente dai soggetti i cui dati siano stati interessati dalla violazione, per le segnalazioni all’Inps, allegando eventuali evidenze documentali“.