Davide Casaleggio non ha finito di presentare a Roma il nuovo Rousseau, la piattaforma online per attivisti pentastellati, che un esperto di sicurezza è riuscito ad hackerare la piattaforma del Movimento 5 Stelle.
Come scrive Repubblica, l’esperto di sicurezza Evariste Gal0is è riuscito a penetrare le maglie di sicurezza. Nemmeno 24 ore e la nuova versione di Rousseau, la piattaforma del Movimento 5 Stelle, è già stata hackerata, seppur a solo fine dimostrativo e senza voler recare danni agli utenti. Evariste Gal0is (questo il nome d’arte dell’esperto di sicurezza che ne ha rivendicato la paternità) ha fatto sapere – pubblicando un sito ad hoc, #hack5stelle, e diffondendo i risultati sui social media – l’esistenza di una vulnerabilità attaccabile con una sql Injection, ovvero un attacco che può ottenere informazioni da un database “a obiettivo quello di ottenere informazioni riservate da un database, inviando delle query, attraverso una variabile input non controllata.
Gal0is premette: “Questo non è un attacco politico. Ho aperto questo sito solamente per avvisare gli iscritti i loro dati sensibili sono potenzialmente a rischio”. Il rischio dovrebbe essere stato risolto, spiega Galois: “Ho avvisato via e-mail i gestori del sito della vulnerabilità trovata che mi hanno risposto che stanno lavorando per risolvere il problema, in questo momento la variabile non mi sembra più vulnerabile. Non scriverò qual era la variabile vulnerabile. Non escludo possano esserci ulteriori vulnerabilità o errori nel sito”.
Tra le informazioni che è stato possibile ‘rubare’ ad esempio i dati sulle donazioni, per la precisione “nome, cognome, e-mail, città, importo, tipologia di pagamento”. Ma soprattutto tra le tabelle del database c’erano anche quelle relative alle votazioni online, e questo “non rende sicuro il sistema di votazione online adottato”.
Gal0is sottolinea un altro problema di Rousseau, nella sua versione attuale: la richiesta di avere password di almeno otto lettere, una cifra che invoglia a scegliere una data e provare un attacco di forza bruta: “C’è un programma – continua il sito – che permette di effettuare questo attacco con un semplice computer in un tempo relativamente breve. Utilizzando una lista di 99999999 numeri, sono bastate 21 ore per craccare 136 password su un campione casuale di 2517, un esito positivo pari al 5,40% delle password analizzate. Una percentuale non irrisoria che potrebbe pesare, ad esempio, nelle votazioni online”. Che spesso vengono decise sulla base di poche decine di voti.
Ci sono altre vulnerabilità simili nel sito? “Non posso saperlo, ma non posso escluderlo. Purtroppo capita che i programmatori commettano qualche errore, e che ci sia qualcuno che se ne accorge e decide di approfittarne. Come utenti purtroppo non potete fare molto, ma potete chiedere la maggior trasparenza possibile e un canale di comunicazione diretto con lo staff che si occupa della parte tecnica del sito. Proporre di aprire un piccolo programma di bug bounty per premiare chi segnala una vulnerabilità potrebbe essere un’idea”.
Gal0is consiglia di “cambiare la password dell’account. Inoltre sarebbe utile cambiare le password della e-mail con cui ci si è registrati e dei vari profili social, specialmente se all’interno di queste password avete usato dati personali come data di nascita o altre informazioni personali”. E ricorda: “È consigliato scegliere sempre password lunghe, molto lunghe, anche se facili da memorizzare, ma stando attenti a non usare una qualche vostra informazione facilmente reperibile. Se il numero di caratteri della password è limitato dal webmaster scegliete una password complessa”.
E conclude: “Mi riallaccio alla premessa iniziale: questa pagina non è un attacco politico. È stata pubblicata solo con l’intento di rendere trasparente e semplice una questione importante: i dati personali di molte persone erano ottenibili a causa di una vulnerabilità presente nel sito. È quindi corretto che le persone vengano a saperlo, essendo quei dati i loro”.
Davide Casaleggio non ha finito di presentare a Roma il nuovo Rousseau, la piattaforma online per attivisti pentastellati, che un esperto di sicurezza è riuscito ad hackerare la piattaforma del Movimento 5 Stelle.