Chi ha hackerato (e perché) la piattaforma Rousseau del M5s

Due episodi, molto diversi, avvenuti in pochi giorni

AGO 4, 2017 -

Roma, 4 ago. (askanews) – Ancora problemi per Rousseau, la piattaforma informatica del Movimento 5 stelle. Mercoledì era stato l’hacker ‘white hat’ (ovvero ‘buono’ Evariste Gal0is a dichiarare sul minisito #Hack5Stelle e su Twitter di aver scovato una vulnerabilità che consentiva l’accesso a dati sensibili degli utenti. Ieri sera, invece, un altro hacker che si fa chiamare rogue0, questa volta un cosiddetto ‘black hat’ (cioè non animato da buone intenzioni), ha diffuso sempre sul social network cinguettante il collegamento a file testuali che mostrano informazioni estratte dal database del sistema dei pentastellati.

L’AVVERTIMENTO DEL ‘WHITE HAT’ I due casi sopracitati, sebbene all’apparenza simili, sono in realtà molto diversi. Evariste Gal0is ha infatti agito sulla vecchia piattaforma, sottolineando che il suo non era “un attacco politico”, ma che il suo intento era solo quello di “avvisare gli iscritti” che “i loro dati sensibili sono potenzialmente a rischio. Ho avvisato via e-mail i gestori del sito della vulnerabilità trovata che mi hanno risposto che stanno lavorando per risolvere il problema”, aveva aggiunto, sottolineano che la variabile non gli sembrava più vulnerabile. “Non scriverò qual era la variabile vulnerabile”, aveva concluso, ma non escludeva che potessero esserci “ulteriori vulnerabilità o errori nel sito”. Nonostante ciò un post dell’associazione Rousseau pubblicato sul blog di Beppe Grillo ha sottolineato che l’hackeraggio “non è avvenuto durante votazioni” e ha avvisato della valutazione di “un’azione legale da intraprendere nei confronti dell’hacker”, che nel frattempo ha reso inaccessibili il suo sito e il suo account Twitter.

L’OFFENSIVA DI ROGUE Di tutt’altra natura l’offensiva rivendicata da Rogue. Stavolta l’hacker ha direttamente pubblicato sulla piattaforma opensource Zerobin.net tabelle in formato testo che mostrano alcuni dati di iscritti e parlamentari – nome e cognome, codice fiscale, email, numero di telefono – con l’importo della donazione effettuata in Rousseau. Rogue ha poi scritto via Twitter sul profilo di Beppe Grillo (sono dentro da mesi e ho toccato di tutto…& i’m still there) – lasciando intendere di avere accesso anche alla nuova piattaforma presentata pochi giorni fa da Davide Casaleggio, ma non ci sono conferme – e su quello di alcuni parlamentari pentastellati, ai quali ha mostrato i link ai dati pubblicati. Infine, si è scagliato contro Evariste Galois, l’hacker che il giorno prima aveva rivelato la vulnerabilità scoperta rispettando la riservatezza dei dati e adottando canoni etici.

LA CONFERMA DI PUENTE A considerare attendibili le informazioni rese note dall’hacker è David Puente, un ‘debunker’ (cioè uno scopritore di ‘bufale’, con un trascorso da dipendente proprio presso la Casaleggio Associati. Sul suo blog scrive infatti di avere riconosciuto nel materiale sottratto da rogue alcune “espressioni che un programmatore all’interno della società utilizza spesso e che probabilmente, per testare il sistema, ha utilizzato e fatto registrare all’interno del database”.

(Fonte: Cyber Affairs)