INPS Data Leak - Bonus Cura Italia 2020
Pesce d'Aprile? Oggi 1 Aprile 2020 in piena emergenza COVID-19 l'INPS ha reso disponibile la procedura per richiedere il Bonus di 600€
#InpsComunica #DecretoCuraItalia Da oggi è possibile inviare la richiesta per le #indennità #Covid19 per i lavoratori #autonomi, #parasubordinati e #subordinati. Accedi al servizio: https://t.co/2wMVu3TDFO pic.twitter.com/DQ4Cz9DudV
— INPS (@INPS_it) April 1, 2020
Effettuando il login con le proprie credenziali si ha libero accesso a dati di altre persone ed a ogni refresh vengono visualizzati dati di altre persone.
Possibili ipotesi sulla causa della problematica:
Come prima ipotesi si può pensare ad un sistema di cache davanti al sito web che recuperi dati dell'ultimo utente che si è loggato o di altri utente che si sono collegati in precedenza e li mostri all'attuale persona che sta navigando su quella pagina dell'area riservata..
Dati i nomi degli URL del sito, probabilmente, hanno implementato un nuovo sito in fretta e furia commettendo errori sulle procedure di recupero dei dati dal backend/database
Altre ipoetsi son ben accette...
Ecco alcuni esempi [Fonte Twitter...]
Schermate di alcune delle pagine dell'area riservata dell'INPS con dati casuali di persone vere.Raga il sito dell' #inps non solo è in loop, ma mi ha fatto accedere anche alle schede private e personali di altra gente. La chiamano #privacy dell’#inpsdown pic.twitter.com/Juj0l39qAZ
— Social M Manager di Taffo (@RiccardoPirrone) April 1, 2020