4 minuti
Il ferragosto di fuoco di Dazn: va in tilt e poi fa vedere le partite a tutti!
Prima di serie A, 14 di agosto: Dazn, la nota piattaforma di streaming sbarcata da qualche anno in Italia va in tilt, smuovendo addirittura una litigiosa politica, in preda ai fumi della campagna eletrorale, che si unisce unanime in un coro di condanne per i detentori dei diritti della massima serie calcistica italiana.
Più precisamente, fallisce per l’eccessivo carico il sistema di autenticazione di Dazn, cosa che impedisce ai legittimi utenti paganti di guardare le partite della propria squadra del cuore.
Così, l’indomani, ferragosto, per mitigare il problema viene ideata una procedura straordinaria. Funziona? Così bene che il sistema viene “bucato” in qualche minuto e i link per vedere le partite, gratis e senza autenticazione alcuna, finiscono ovunque.
Non avrei voluto essere il sistemista con la reperibilità quella sera…
Cos'è andato storto?
Fondamentalmente, viene annunciato che pochi minuti prima della partita verrà fornito un link dove, facendo l’accesso, si potrà ottenere un altro link per guardare la partita, un flusso video diretto, visibile con un lettore multimediale come VLC o, ormai, con un comune browser.
Di per sé un setup del genere non è intrinsecamente insicuro: si può generare un link univoco per utente e revocarlo se si connettono troppi IP differenti, limitando al contempo la fruizione ad un massimo di due o tre IP univoci o, ancora meglio, connessioni concorrenti, se proprio non si può accedere al server dell’autenticazione.
Invece si è scelto un indirizzo unico da fornire a tutti gli utenti. Già qui il sistema è andato, basta un attore malevolo che decide di dare il link agli amici, che a loro volta lo daranno agli amici raggiungendo alla svelta una massa critica di abusivi.
Autenticazione? Ma mi faccia il piacere!
Ma facciamo finta che tutti gli utenti di Dazn siano onestissimi e mai condividerebbero quel link. Il problema è la procedura di autenticazione, e già chiamarla così è generoso: è più un’identificazione, basta mettere l’email!
Ancora, tale sistema non sarebbe stato terribilmente insicuro se, ad esempio, avesse previsto l’invio di un codice all’email da inserire per ricevere il link il flusso, è l’implementazione ad essere totalmente naive: basta procurarsi un’email valida e si accede.
Qualcuno ha usato quella di un amico appassionato di calcio, qualcun altro - e non scherzo - è andato a recuperare l’email di uno dei politici che ha dichiarato di essere iscritto alla piattaforma, utilizzandola poi per identificarsi.
Un po’ come se per entrare al Consiglio Supremo di Difesa bastasse citofonare e, accennando una leggera cadenza siciliana, dire “Sergio Mattarella”.
Credo, onestamente, che chi ha fatto questa bravata sia punibile penalmente, almeno in base all’articolo 615 quater del Codice Penale, ma non sono un avvocato e sto usando i ricordi dell’esame di diritto penale, quindi potrei perdermi qualcosa.
Progettare per fallire
Razionalmente, non esiste alcuna ragione per fare le cose come le ha fatte Dazn, ma è ben poco probabile che ci sia stato del tempo per pensare razionalmente: è più probabile che si sia detto “tirate fuori qualcosa per far vedere le partite a qualsiasi costo, dato che se non ci riusciamo ci appendono per i coglioni allo Stadio Olimpico” e che la soluzione, appunto, sia stata costruita urgenzialmente, con la minima complessità così da evitare che cadesse ancora.
Tuttavia, i problemi di Dazn non sono certamente una cosa nuova, anzi, è ormai quasi un meme la scarsa affidabilità del servizio. Verrebbe da dirsi, dunque, che un sovraccarico del sistema di autenticazione andava preventivato e che un sistema alternativo, con i dovuti crismi di sicurezza, per permettere comunque la visione degli eventi in diretta.
E questa sia una diretta lezione di progettazione, ingegneria del software e costruzione di sistemi: in certi settori, alle volte, fallire è inevitabile e tenerlo a mente, creando alternative comunque funzionali e sicure in caso di bisogno, è la cosa migliore.
Ringrazio Loris per avermi aiutato a scrivere questo articolo fornendomi utili informazioni