A poche settimane dalla votazione più importante per la storia del Movimento di Beppe Grillo che vedrà eletto il candidato premier, la piattaforma Rousseau è stata nuovamente violata destando questa volta la preoccupazione dei vertici del movimento.
Tutto è avvenuto nei primissimi giorni di agosto, poche ore dopo il lancio a Roma della nuova versione del portale con cui gli iscritti possono votare su temi e candidati, con la comparsa online di un hacker, Evariste Gal0is, che attraverso un profilo Twitter e un mini sito sosteneva di aver scoperto una grave falla di sicurezza proprio sulla neonata piattaforma digitale.
L’hacker avrebbe sfruttato la tecnica di attacco “Sql Injection” spesso utilizzata per accedere a database, leggerne i contenuti e copiarli impadronendosi così di dati sensibili degli utenti come nome, cognome, email, password, numero di cellulare e anche donazioni.
Gal0is premette: “Questo non è un attacco politico. Ho aperto questo sito solamente per avvisare gli iscritti che i loro dati sensibili sono potenzialmente a rischio” dichiarando inoltre che la vulnerabilità dovrebbe essere stata risolta dal momento che “Ho avvisato via email i gestori del sito della vulnerabilità trovata che mi hanno risposto che stanno lavorando per risolvere il problema, in questo momento la variabile non mi sembra più vulnerabile. Non scriverò qual era la variabile vulnerabile. Non escludo possano esserci ulteriori vulnerabilità o errori nel sito”.
L’esperto di sicurezza informatica e ad di The Fool, Matteo Flora, commenta così l’accaduto: «Se è vero quello che dice, ha fatto quella che si chiama in gergo divulgazione responsabile della vulnerabilità, perché non ha pubblicato i contenuti né il metodo per accedere agli stessi».
Nonostante si trovasse davanti a quello che nel settore viene definito come hacker etico, l’Associazione Rousseau ha minacciato ritorsioni legali, specificando che la violazione è avvenuta sulla prima versione della piattaforma, e che la falla non era più presente.
Gal0is consiglia di “cambiare la password dell’account. Inoltre sarebbe utile cambiare le password della email con cui ci si è registrati e dei vari profili social, specialmente se all’interno di queste password avete usato dati personali come data di nascita o altre informazioni personali”. E ricorda: “È consigliato scegliere sempre password lunghe, molto lunghe, anche se facili da memorizzare, ma stando attenti a non usare una qualche vostra informazione facilmente reperibile. Se il numero di caratteri della password è limitato dal webmaster scegliete una password complessa”.
E conclude: “Mi riallaccio alla premessa iniziale: questa pagina non è un attacco politico. È stata pubblicata solo con l’intento di rendere trasparente e semplice una questione importante: i dati personali di molte persone erano ottenibili a causa di una vulnerabilità presente nel sito. È quindi corretto che le persone vengano a saperlo, essendo quei dati i loro”.
A poche ore dall’ultima comunicazione di Evariste Gal0is compare online un nuovo profilo Twitter, r0gue_0, il cui proprietario sostiene di essere un hacker non etico che, infiltratosi da mesi nel sito, inizia a divulgare dati sottratti dalla nuova piattaforma.
Secondo un post pubblicato da David Puente, blogger ed ex dipendente della Casaleggio, alcune di queste informazioni sembrerebbero essere effettivamente dati personali di utenti e delle loro donazioni.
Su questa seconda violazione ancora da confermare e le sue implicazioni, Matteo Flora commenta «intanto bisognerebbe capire se è vero che da mesi l’attaccante era dentro il sistema e cosa avrebbe fatto. Poi, mostrerebbe che l’applicazione continua a essere vulnerabile. Infine, occorrerebbe capire a questo punto come metterla in sicurezza». A settembre sono infatti previste votazioni su Rousseau. «Non è impossibile farlo per tempo ma certo una revisione profonda richiede decine di giornate di lavoro, e da parte di professionisti di alto livello. Vedo difficile riuscire a fare in poco tempo qualcosa di diverso».
Un precedente che pone diversi interrogativi sull’eventuale manipolazione delle votazioni su Rousseau e sui tempi impiegati dai sistemisti per correggere la falla e mettere così in sicurezza il sistema.
ESET Italia condivide il suggerimento di aggiornare frequentemente le password rendendole sempre più sicure, e di non utilizzare le stesse per più di un servizio.
Lascia un commento