Avatar of Andrea Pavone
Andrea Pavone

INPS Data Leak - Bonus Cura Italia 2020

Pesce d'Aprile? Oggi 1 Aprile 2020 in piena emergenza COVID-19 l'INPS ha reso disponibile la procedura per richiedere il Bonus di 600€

#InpsComunica #DecretoCuraItalia Da oggi è possibile inviare la richiesta per le #indennità #Covid19 per i lavoratori #autonomi, #parasubordinati e #subordinati. Accedi al servizio: https://t.co/2wMVu3TDFO pic.twitter.com/DQ4Cz9DudV

— INPS (@INPS_it) April 1, 2020

Effettuando il login con le proprie credenziali si ha libero accesso a dati di altre persone ed a ogni refresh vengono visualizzati dati di altre persone.

Possibili ipotesi sulla causa della problematica:

  • Come prima ipotesi si può pensare ad un sistema di cache davanti al sito web che recuperi dati dell'ultimo utente che si è loggato o di altri utente che si sono collegati in precedenza e li mostri all'attuale persona che sta navigando su quella pagina dell'area riservata..

  • Dati i nomi degli URL del sito, probabilmente, hanno implementato un nuovo sito in fretta e furia commettendo errori sulle procedure di recupero dei dati dal backend/database

  • Altre ipoetsi son ben accette...

Ecco alcuni esempi [Fonte Twitter...]

Schermate di alcune delle pagine dell'area riservata dell'INPS con dati casuali di persone vere.

Raga il sito dell' #inps non solo è in loop, ma mi ha fatto accedere anche alle schede private e personali di altra gente. La chiamano #privacy dell’#inpsdown pic.twitter.com/Juj0l39qAZ

— Social M Manager di Taffo (@RiccardoPirrone) April 1, 2020