L'attacco alla piattaforma Rousseau del Movimento 5 Stelle dello scorso quattro agosto era forse solo un avvertimento, una dimostrazione. Ma se Evariste Gal0is è scomparso dari radar, a sostituirlo e rincarare la dose è arrivato R0gue_0. Che non ha solo sottratto dati, li ha anche pubblicati e (pare) venduti. Ne dà notizia David Puente, noto debunker che è stato contattato dall'hacker Rogue0.
Il messaggio è inequivocabile: dai due blog citati è stato sottratto un elenco di nomi utenti e password, mettendo così a rischio la sicurezza di milioni di iscritti. La cosa imbarazzante per il M5S non è tanto l'aver subito un attacco - cosa che può capitare a tutti - ma piuttosto il fatto che le password siano salvate in chiaro.
R0gue_0 ha avuto accesso anche al database del Blog di Beppe Grillo, collegato a sua volta al "Blog delle Stelle" (loggato da una parte sei loggato anche nell'altra), non soltanto a Rousseau. Non solo, dimostra che le password erano presenti nel database senza essere criptate.
Si tratta di un errore di sicurezza grossolano, una leggerezza che sarebbe stata grave qualche anno fa ma che oggi è semplicemente inaccettabile. Non si può davvero tollerare che un servizio con così tanti iscritti e di così grande portata non si preoccupi nemmeno di usare semplici schemi di hashing - siamo all'abicì della sicurezza, non certo a livelli da NSA.
Il problema è sempre il solito: ci sono buone probabilità che con gli stessi dati si possa accedere alla posta elettronica, a Facebook, all'home banking (ma qui ci sono altre procedure di sicurezza in essere, di solito). Da qui al furto d'identità e quello di denaro il passo è molto breve. I dati trafugati includono tra l'altro anche il numero di cellulare, in alcuni casi; un altro dato estremamente sensibile e utilizzabile per frodi di diverso tipo.
Thank you mates for shopping, have fun ;-)
And a very special thanks to @casaleggio #Admins and #Coders to let me have fun with #Rousseau
-- rogue0 (@r0gue_0) 5 agosto 2017
A proposito di best practices, in ogni caso, è da segnalare che su beppegrillo.it c'è un post (in copia anche sul blog delle stelle) che dà notizia dell'accaduto. Qui si sottolinea come l'attacco abbia riguardato la piattaforma precedente e non quella in uso attualmente, che "non presenta più la vulnerabilità segnalata". Non c'è nulla riguardo a quanto segnalato da David Puente, invece, ma sicuramente potrebbero pubblicare qualcosa nelle prossime ore.
A chi si era registrato a uno dei siti citati rivolgiamo i soliti consigli.
- Cambiare la password, e se l'avete usata anche altrove modificatela ovunque fosse presente.
- Non usate mai la stessa password su siti diversi
- Ove possibile usate il login di fornitori ad alta sicurezza (Facebook, Google, etc.)
- Affidatevi a un software per la gestione delle password (LastPass, OnePass, Keypass, etc.)
- Attivate la Two Factor Authentication (2FA) su tutti i servizi che la supportano
Purtroppo già queste poche ore sarebbero sufficienti a fare danni anche ingenti. Rogue0 infatti ha avuto modo di estrarre i dati e, pare, metterli in vendita su un mercato che è sempre interessato a informazioni simili. La pubblicazione originale è stata rimossa da ZeroBin, se non altro.
Aggiornamento: l'articolo è stato modificato per chiarire che i siti del Movimento 5 Stelle hanno subito due diversi attacchi. I fatti oggetto di questo articolo sono relativi al secondo.