Il Garante della Privacy ha deciso di indagare sull'attacco hacker subito dalla piattaforma Web del Movimento 5 Stelle. L'istruttoria cercherà di fare chiarezza su quanto avvenuto su Rousseau (versione precedente).Non solo un ricercatore di sicurezza che si fa chiamare Evariste Gal0is ha annunciato su un mini sito la presenza di una banale vulnerabilità che consentiva un attacco tramite SQL Injection.
Tramite questo escamotage il "white hat" sarebbe riuscito ad accedere al database di Rousseau nel quale sono disponibili informazioni sensibili riguardanti gli iscritti come nome e cognome; indirizzo email; città di nascita e residenza; contatti social, numero di cellulare; curriculum e presentazione; titolo di studio; professione e le donazioni eventualmente fatte al Movimento 5 Stelle.
"Sebbene le password siano criptate, sapendo che la lunghezza massima è di soli otto caratteri e che le date GGMMAAAA sono lunghe esattamente otto cifre, è abbastanza logico tentare un attacco dizionario con una lista di numeri da 00000000 a 99999999" spiegava Evariste Gal0is. Risultato del suo piccolo esperimento: 136 password craccate (su un campione di 2517) in 21 ore", si leggeva sul sito.
Dopo l'annuncio del 4 agosto, esattamente il 7 agosto si è concretizzato un attacco più grave effettuato da R0gue_0. L'hacker non solo ha sottratto dati, li ha anche pubblicati e (pare) venduti. Ne ha dato notizia David Puente, noto debunker che è stato contattato dall'hacker Rogue0.
Leggi anche: Attacco informatico al M5S, avevano le password in chiaro
Il messaggio è inequivocabile: dai due blog citati è stato sottratto un elenco di nomi utenti e password, mettendo così a rischio la sicurezza di milioni di iscritti.
Gli esperti hanno ammesso che si è trattato d un errore di sicurezza grossolano, una leggerezza oggi inaccettabile.
Thank you mates for shopping, have fun ;-)
And a very special thanks to @casaleggio #Admins and #Coders to let me have fun with #Rousseau
-- rogue0 (@r0gue_0) 5 agosto 2017
In ogni caso bisogna da segnalare che su beppegrillo.it c'è un post (in copia anche sul blog delle stelle) che dà notizia dell'accaduto. Qui si sottolinea come l'attacco abbia riguardato la piattaforma precedente e non quella in uso attualmente, che "non presenta più la vulnerabilità segnalata".
L'ultimo aggiornamento si deve sempre a Puente che ieri ha nuovamente messo in imbarazzo la security di BeppeGrillo.it. Pare che le mail che invitano a cambiare password - strategia corretta considerato quanto avvenuto - non siano cifrate.
"Non è un bel biglietto da visita per un sito di tale importanza nel 2017, c'è da dire che anche l'indirizzo per il cambio della password non è presente il protocollo di sicurezza SSL (per farla semplice a tutti gli utenti, l'indirizzo riporta l'HTTP senza la "S" finale)", scrive l'esperto. "Anche Google Chrome mi segnala il Blog di Beppe Grillo come non sicuro...".
Insomma il Garante dovrà valutare se c'è stata negligenza.
"Il punto è semplice: al momento dell'iscrizione al Movimento si autorizza il titolare di questa associazione, che è Beppe Grillo, a gestire i miei dati nell'ambito delle attività della stessa. Ora: sembra che questi dati siano stati travasati senza consenso consapevole degli iscritti a una associazione terza, Rousseau appunto. Se ciò è accaduto ci sono tutte le carte in regola per rivolgersi al garante della Privacy. Ripeto: nessuno può comunicare esternamente, seppur ad una associazione 'vicina' i dati degli iscritti senza un loro consenso consapevole", ha dichiarato l'avvocato romano Lorenzo Borré, che sta curando gli interessi di alcuni iscritti.