Buongiorno nexiani, un amico mi segnala questo thread di reddit: https://www.reddit.com/r/italy/comments/fuyvwd/sito_inps_niente_hacker_solo_... --8<---------------cut here---------------start------------->8--- La mattina del 1 aprile, per qualche ora (e non "5 minuti" come ha dichiarato l'INPS), è stata impostata la CDN Microsoft Azure Edge (rivenditore di Akamai in questo caso) davanti al server del sito dell'INPS. www.inps.it era diventato un CNAME a inps-cdn-a.azureedge.net. Poi hanno ripristinato l'IP diretto senza CDN, "risolvendo l'attacco hacker" e il "data breach" (autoinflitti?!?!) Chi continuava a visualizzare dati altrui in seguito avrebbe dovuto semplicemente cancellare la cache del browser, oppure utilizzare la modalità incognito. Addirittura la CDN sta funzionando ancora oggi: (quindi Microsoft sta continuando a ricevere soldi pubblici per questo) https://inps-cdn-a.azureedge.net/nuovoportaleinps/home.htm https://inps-cdn-a.azureedge.net/nuovoportaleinps/default.aspx Archiviati per futura memoria: https://archive.is/inps-cdn-a.azureedge.net Ecco svelato il mistero, una volta per tutte. Niente "hacker", e nessun database fallito in modi improbabili e assurdi, come sosterrebbero alcuni sedicenti "esperti" (non esiste che si possano "confondere" le richieste al database...) --8<---------------cut here---------------end--------------->8--- Non ho avuto modo di approfondire la veridicità di queste informazioni, potrebbero anche essere falsità costruite ad arte *ma* potrebbero anche contenere informazioni verificabili da terzi. Se fosse vero che tutto è dipeso da questo, dire che si tratta di una cosa grave è un eufemismo... qualsiasi sia la causa. Dalle scarne informazioni che ho non è possibile escludere che possa essersi trattato di un attacco a livello DNS... che però da solo non può consentire l'aggiramento della verifica del certificato X.509 (HTTPS) del sito [1]... non voglio neanche pensarci :-O Io so solo che oggi il record DNS inps-cdn-a.azureedge.net non esiste più (AFAIK) e non ho la possibilità di verificare se il giorno del disastro davvero l'indirizzo dell'INPS www.inps.it (inps.it non esiste :-S ) puntasse a quel record. Spero che i sistemisti dell'INPS siano onesti e pubblichino a breve un rapporto post-mortem completo che risponda anche a questi dubbi, i fornitori seri fanno così. Nel thread però ci sono diverse altre informazioni più facilmente verificabili, tipo la sostanziale privatizzazione (si chiama ancora outsourcing?) del sistema informativo INPS, che illustrano il contesto. Questo è *uno* dei motivi per i quali io, semplice cittadino a conoscenza di questioni di tecnologie digitali, sono un filino preoccupato di come vengono gestiti i nostri dati sensibili dalla PA, in particolare quelli sanitari. Saluti, Giovanni [1] qualcuno avrebbe dovuto "impersonare il certificato valido" dell'INPS, è possibile da parte di un attaccante con molte risorse -- Giovanni Biscuolo Xelera IT Infrastructures