NoiPA: risolto il caso dello scambio dati e sicurezza nuovamente garantita

24 Febbraio 2021 188

A distanza di qualche settimana dalla segnalazione che ci era arrivata in redazione e che verificammo internamente anche grazie al supporto di un collega della GdF, prima di mandare la documentazione a NoiPA, aggiorniamo l'articolo con un bel lieto fine che conferma una piacevole vicinanza e collaborazione tra utenti, siti web e realtà informatiche.

Buonasera, sono Roberta, referente della comunicazione della Direzione dei Sistemi Informativi e dell'Innovazione e nello specifico della piattaforma NoiPA.
Seppur a distanza di tempo mi sembra doveroso aggiornarla in relazione al problema di corretta visualizzazione di dati sensibili sull'app NoiPA evidenziato da un vostro utente su HDBlog. Siamo riusciti a replicare la problematica riscontrata dall'utente ed isolare opportunamente la porzione di codice interessata.

Fortunatamente è una casistica che si verificava in particolari condizioni, che non era mai stata segnalata e rilevata e che accadeva in condizioni uniche di concorrenzialità. L’anomalia comunque non ha consentito all’utente di effettuare il download di dati non propri e quindi venire a conoscenza di dati sensibili di un altro utente.

Abbiamo provveduto a rimuovere l’anomalia effettuando il deploy della fix e la problematica è rientrata definitivamente.

La ringraziamo per la segnalazione e per la proficua collaborazione.

Dunque una problematica molto particolare, difficilmente identificabile e ripetibile che però è stata risolta e corretta anche se, come detto anche inizialmente, i dati sensibili non erano comunque stati esposti o resi scaricabili.

Si ringranzia il lettore V., il collega della GdF, Mirko, Gino A. e Roberta L.

---------- Articolo Originale ----------

Sono passate poche ore dalla fine del CashBack di Natale, l'iniziativa del governo che ha avuto inizio l'8 dicembre scorso con non pochi problemi e che è terminata il 31 dicembre e oggi torniamo a parlare di problemi legati alle applicazioni PA. In attesa di capire se davvero i bonus saranno di 150€ o se invece, come analizzato in un nostro articolo di alcune settimane fa, la percentuale di rimborso sarà ricalcolata, vogliamo mettere oggi l'accento sulla sicurezza delle applicazione della nostra pubblica amministrazione.

Non tutti sanno che oltre ad IO esiste un'altra applicazione che funziona praticamente nello stesso modo, sfrutta la SPID e ha una grafica molto simile. Si chiama NoiPA e permette di avere una visione completa del proprio profilo lavorativo, stipendi, cedolini e molto altro ancora per le persone che lavorano nelle pubbliche amministrazioni.

NoiPA è l’app dedicata al personale delle Pubbliche Amministrazioni, progettata intorno alle loro esigenze. Con pochi e semplici click gli utenti potranno usufruire di un’assistenza sempre presente. L’applicazione garantisce la piena sicurezza delle informazioni trasmesse e la privacy di ogni utente - fonte.

Un software indubbiamente utile ma che sembra avere qualche problema di gestione dati. Nelle ultime ore ci è infatti arrivata una segnalazione che, dopo verifica e accertamento anche esterno, vi riportiamo.

Un insegnante ha infatti effettuato il login con SPID nel modo classico e come fatto anche altre volte ma, a differenza dei propri dati, ha potuto accedere al profilo di una persona che lavora per la Guardia di Finanza con la visione degli stipendi e cedolini. Fortunatamente, anche in questo caso, non è stato possibile accedere ai dati personali di questa persona e quindi nome, cognome, indirizzo e profilo non sono stati mostrati in chiaro e non è stato possibile effettuare alcun download.


La segnalazione - Vi spiego passo passo cosa è successo: apro l'app NoiPa, accedo con i miei dati, vedo il mio ultimo cedolino, premo su Consulta Cedolini e, magia, mi appaiono i cedolini da Settembre 2019 a Dicembre 2020 di qualcun altro!

Premo su Dicembre 2020 e mi esce scritto "Guardia di Finanza". Premo su Settembre 2019 e idem. Così provo a premere sul cedolino, va in caricamento, ma quando apre la pagina mi dà errore. Torno indietro, faccio qualche screenshot e chiudo l'app. Quando la riapro è sparito tutto.

Si tratta di un ulteriore caso di gestione errata del database. Sebbene non vi siano dati sensibili che possano permettere la ricostruzione completa di un profilo personale, si tratta di una gestione decisamente molto allarmante da parte dello Stato.

Per questo motivo e viste le segnalazioni, è davvero difficile poter dire con certezza assoluta che la sicurezza dei nostri dati sia realmente garantita. In attesa di ulteriori informazioni, abbiamo comunque contattato gli organi competenti al fine di segnalare l'accaduto e ottenere una possibile risposta.

Il TOP di gamma più piccolo di Apple? Apple iPhone SE, in offerta oggi da Mondoshopit a 434 euro oppure da Amazon a 529 euro.

188

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
sopaug

bene, e allora l'avrai fatta anche tu. Se non finisce mai è il momento di cambiare aria, l'ho scritto, deve esserci ma non può durare per sempre.

Scanato Khan

No, lo sono già.

sopaug

si chiama "fare la gavetta", e non deve durare per sempre ma vuol dire imparare un lavoro vero visto che ancor di più nel nostro paese nemmeno le "scuole professionali" ormai ti insegnano davvero un lavoro.

Ma tu sarai uno di quelli che fresco di laurea vuole fare il manager, giusto?

Scanato Khan
non ha avuto voglia di sacrificarsi all'inizio della carriera


Ottimo modo per dare l'impressione di essere disponibili ad essere sfruttati e sottopagati.

Simplyme

Si sa nulla dell'impementazione di Apple/Google Pay e delle carte dei supermercati?

Eric

Puoi scrivere tutti i pipponi che vuoi, ma la PA farà sempre schifo comunque

Squak9000

penso che il problema sostanziale è che fanno sviluppare le app ma poi non le aggiornano come dovrebbero.

Marcello

Mai piaciuta. Ho sempre usato il sito direttamente

Gigiobis

Vorrei proprio sapere i numero di transazioni dei top 1000.

trodert

il 10% del cashback normale comunque resta

La vuoi sapere la cosa bella:
Noi di HDblog, personalmente io, ho chiamato direttsamente PagoPd il 9 gennaio documentando tutte le anomalie, offrendo 2 soluzioni al problema, facendo notare come non fosse possibile (e al tempo ancora non c'era la classifica pubblica) e che sarebbe stato un problema che si sarebbe moltiplicato col passare dei giorni.

40 minuti di chiamata.... ignorato.....

zdnko

ne avrebbero comunque guadagnato solo i furbetti

momentarybliss

Intanto si sta valutando la sospensione del superbonus dei 1.500 euro fino alla fine dell'anno per avere il tempo di elaborare un nuovo algoritmo che impedisca ai furbi di frazionare eccessivamente le spese per scalare la posizione in classifica. Come al solito per i pochi ci rimettono tutti

Frazzngarth

"è così e basta" cosa?

Toc

no è cosi e basta. Economia è una barzelletta a confronto su dai, ho amici che la fanno e hanno degli "esaMINI" in confronto ai nostri esami

Squak9000

per me fila... avere un'assicurazione a vita non è male anche se minore.
Non hai pensieri.

Il guadagnare 10, 100, 1000 non ti esclude dal timore di perdere i tuoi averi.

Con un lavoro statale non perdi quel che hai... a meno che non hai fatto una vita sopra le righe ma ti seinattenuto al tuo stato sociale.

sopaug

era ipotetico. Resta che i tuoi conti non tornano, se poi vivi più tranquillo così è una questione psicologica tua, ma economicamente il discorso non fila.

Nexi pay è solo l’app di Nexi tramite
A quale attivare il servizio.
Lo puoi ancora fare.
Ti importa tutte le carte e paghi con gpay senza problemi.

Io uso apple pay, anche da orologio, e me le conta.

Squak9000
Markk

Lo stipendio medio ingegnere è fra i più bassi d'Europa prende meno di 1400 al mese da anni ormai

Eu Genio

A saperlo prima lo facevo! Uso solo Gpay e non Nexi Pay, ma pagare col telefono per me è un vantaggio imprescindibile

Squak9000

non "se", ancora guadagno 4 volte di più, ma come anticipato la sicurezza di un lavoro senza se e senza ma ha un valore enorme.

Frazzngarth

Ah ecco, appunto...

Alfredo

Chiaramente, ma in generale ingegneria è molto più richiesta e formante (nonché più difficile)

sopaug

dipende che ingegneria e che economia.

sopaug

i dipendenti pubblici sono cittadini fino a prova contraria. Nello specifico NoiPA e IO non dovrebbero esistere separatamente.

Dare del lei su internet fa ridere anche se hai superato gli "anta", non so che professione svolgi ma l'invito resta valido

sopaug

puoi ripeterlo ma non lo rende reale. Al limite mi si può parlare di "media" ma non è quella a cui bisogna ambire a meno di non essere gente che fa cadere la penna alle 17.30. Le opportunità ci sono, e parlo perchè di laureati in economia ne stipendio 2.

Fabio

NoiPA e IO non sono applicazioni simili: IO è un'app che serve per dare dei servizi ai cittadini, NoiPA invece è rivolta ai dipendenti pubblici per tutt'altro.
Per quanto riguarda l'invito a tornare a studiare la ringrazio ma non ce n'è bisogno dato che la mia professione me lo impone, ma farebbe sicuramente bene anche a lei che, a giudicare dalle banalità che scrive, si sarà certamente laureato all'università della vita su Fessbùc.

Frazzngarth

E io ti ripeto che il mondo reale è il suo, non il tuo.

Già.
Ma Nexi lo supporta (e lo scrive) per le sue carte.

Hanno abilitato la funzione da app Nexi, in modo da importare su Io quanto necessario per il loro funzionamento tramite Apple Pay.
E infatti funziona. ;)

Esatto.

Solo che all’inizio non era chiarissimo.

Era solo immaginabile, ma non hanno specificato fino a qualche giorno dopo.

Alfredo

Al mondo è pieno d’incapaci con lauree diverse...questo non toglie il fatto che, ad oggi, una laurea in ingegneria valga molto di più di una in economia.
Fatti una ricerca su google e lo scopri.

sopaug

ah no? Non ti chiedono gli stessi dati più volte e/o per più applicazioni simili? Torna a studiare asinello.

sopaug

e se guadagnavi 4 volte avevi ancora un materasso per riprenderti. Ripeto, basta gestire.

sopaug

veramente tu hai risposto a me, e io ho risposto a te... Se non avevi nulla da aggiungere non avresti dovuto rispondere. L'altro utente vaneggia. Se uno si fa un c così 8 anni e accetta uno stipendio da fame vuol dire che non ha avuto voglia di sacrificarsi all'inizio della carriera o ha perso tempo.

sopaug

ma se è pieno il mondo di ing gestionali incapaci a far danni nelle aziende... Sei rimasto a 20 anni fa almeno.

Alfredo

Vive sulla luna...

Alfredo

L’ingegnere è una delle figure più ricercate e una delle lauree più difficili da ottenere (tra quelle più comuni)

Logan

Nel caso della programmazione, andrebbe pagato qualcun altro per rompere i sistemi creati dal vincitore della gara

Marko988

Apple Pay/Google pay per ora sono compatibili solo usando Yap o Nexi, con un aggiornamento nel corso del mese di gennaio hanno detto che dovrebbero essere attivati per tutti!

Marko988

Sì, infatti se si abilita il cashback da nexi o yap su IO ci si ritrova delle carte non riconosciute ed è perché vengono aggiunte le carte virtuali generate da apple pay/google pay e in questo modo pagando con apple watch o iphone le transazioni vengono correttamente associate al cashback!

Frazzngarth

Ma cosa vuoi da me? Io mica mi lamento, ma il mondo reale è quello descritto dall'altro utente.

utentepuntocom

ma è scritto nell'app IO da inizio dicembre che le carte non riconosciute sono dovute alle carte "virtuali" dei pagamenti virtuali tipo apple pay o google pay e simili

yepp

Sono gli stessi programmatori scarsi delle stesse società di consulenza che hanno vinto l'appalto. Lo hanno vinto solo perchè in passato hanno realizzato più cose per la PA degli altri, ma peccato che le hanno sempre realizzate male. Non contano gli anni di esperienza, ma la reale competenza!

Nicola

Sembra che per quanto riguarda l'informatica la PA abbia spesso problemi di questo genere... ricordo che qualche anno fa successe la stessa identica cosa a chi accedeva al sito dell'INPS: uno loggava con le sue credenziali, e al posto del suo profilo vedeva quello di qualcun altro, di cui poteva leggere vita morte e miracoli, e (secondo alcuni) addirittura approfittarne per cambiare l'iban su cui versare la pensione o altri trattamenti erogati dall'INPS.
Qui non è questione di "qualche problema", è proprio che non sanno fare a gestire i dati personali e vanno in crisi nera quando troppe persone cercano di accedere ai loro servizi. Si chiama incompetenza.

Nickname2

No no parlo proprio di garanzia

Squak9000

no non mi interessa gia faccio altro... e poi sono troppo avanti con l'età.

Faccio un lavoro dove se mi assento non guadagno nulla.
Dove il futuro pensionistico è assai incerto.

Squak9000

non è una questione dell
attivo o passivo ma è l'avere una garanzia nel tempo. Fossi stato assente io per 3 anni avrei guadagnato ZERO in tre anni.

Fabio

E infatti non c'è duplicazione, basta informarsi invece che parlare a vanvera.

sopaug

non capisco la correlazione, che differenza dovrebbe esserci tra un ing e un masterizzato in economia?

Windows

Recensione MSI Summit E15, buona la prima!

Games

Scegliere il monitor da Gaming: meglio curvo o piatto? E perchè?

Economia e mercato

Super Cashback addio? Intanto spuntano nuovi trucchi per scalare la classifica

Android

Samsung Galaxy S21 Ultra è il miglior camera phone: ecco perchè | Focus