Re: [nexa] Sito INPS: niente "hacker", solo una scusa per proteggere gli appalti da 360 milioni di euro. La verità? Hanno usato la CDN Microsoft Azure Edge senza sapere come si usa - italy

Buonasera Roberto e nexiani, Roberto Resoli <roberto@resolutions.it> writes:

Il 06/04/20 13:20, Giovanni Biscuolo ha scritto:

[...]

...

Questo è *uno* dei motivi per i quali io, semplice cittadino a conoscenza di questioni di tecnologie digitali, sono un filino preoccupato di come vengono gestiti i nostri dati sensibili dalla PA, in particolare quelli sanitari.

Confermo le mie "preoccupazioni informate" :-) ...tuttavia, pur non volendo _assolutamente_ fare l'avvocato difensore d'ufficio dei gestori del sito INPS, ribadisco che ancora manca un report ufficiale dettagliato e - seppur la vedo davvero difficile - non è ancora esclusa la possibilità che si sia trattato di un attacco.

Interessante anche il commento di Raoul Chiesa:

https://www.key4biz.it/caso-inps-intervista-a-raoul-chiesa-una-bugia-che-fa-...

Commenti molto interessanti sul contesto generale, condivido! Non mi pare aggiunga elementi nel merito di quanto successo, però (come potrebbe d'altronde) [...] Vorrei aggiungere una considerazione che mi è venuta un leggendo qua e là qualche commento/dichiarazione sarcastica, tipo porn-hub che offre aiuto a INPS, ma soprattutto questo: https://medium.com/@WebReflection/var-pippo-c99c5d798726 Il mio commento è: potrebbe essere davvero stato un errore grossolano (e piuttosto imperdonabile) di gestione/configurazione della CDN *ma* di certo l'INPS non è la prima e non sarà l'ultima istituzione/azienda a utlizzare codice messo assieme col fil di ferro e/o vittima di data breach [1], alcuni dei quali probabilmente sono stati causati da *errori* anche grossolani tipo: https://en.m.wikipedia.org/wiki/2017_Equifax_data_breach --8<---------------cut here---------------start------------->8--- The data breach into Equifax was principally through a third-party software exploit that had been patched, but which Equifax had not updated on their servers. Equifax had been using the open-source Apache Struts as its website framework for systems handling credit disputes from consumers. A key security patch for Apache Struts was released on March 7, 2017 after a security exploit was found and all users of the framework were urged to update immediately.[1] Security experts found an unknown hacking group trying to find websites that had failed to update Struts as early as March 10, 2017, as to find a system to exploit.[2] As determined through postmortem analysis, the breach at Equifax started on May 12, 2017, as Equifax had yet to update its credit dispute website with the new version of Struts. --8<---------------cut here---------------end--------------->8--- I casi che hanno fatto storia si sprecano. Quindi inviterei ad andarci piano con le accuse di "programmatori o sistemisti all'amatriciana" che vedo circolare (non qui) :-D ...e sì, la sicurezza su Internet è una brutta bestia Saluti, Giovanni [1] https://en.wikipedia.org/wiki/Data_breach -- Giovanni Biscuolo Xelera IT Infrastructures