Skip to main content

Ecco perché i dati di Rousseau sono ancora a rischio per il Movimento 5 Stelle

“Puoi installare una porta blindata per la tua sicurezza, ma se il muro è in cartongesso…”. A parlare è David Puente, ex dipendente della Casaleggio e Associati, ex militante a 5 stelle e ora blogger e debunker, mentre i muri di cartongesso sono quelli che proteggono i database di Rousseau, di beppegrillo.it e del Blog delle Stelle violati nelle prime settimane di agosto da due persone, con un furto di dati personali ancora non chiarito fino in fondo. Per questo, negli scorsi giorni, agli iscritti a Rousseau è stata inviata una mail per “verificare” la propria identità. Maggiore sicurezza o cortina di fumo? Ecco gli ultimi sviluppi sulla vicenda e l’opinione di esperti.

L’ATTACCO HACKER

Nei primi giorni di agosto un utente di twitter, Evariste Gal0is, ha rivelato di essere riuscito a penetrare nel database di Rousseau e di aver segnalato le falle nella sicurezza del sito alla Casaleggio e Associati per fare in modo che risolvessero il problema. Qualche giorno dopo, il sito è stato nuovamente bucato da un altro hacker, rogue0, che ha trafugato i dati personali degli utenti iscritti a Rousseau per poi metterli in vendita. Mentre il primo utente aveva buone intenzioni, ossia segnalare falle per porvi rimedio, il secondo ha trafugato dati e, a suo dire, manipolato i codici del sito (che cosa non si sa, ma potrebbero essere anche i risultati delle varie votazioni sulla piattaforma).

I PASSI SUCCESSIVI ALL’ATTACCO

In molti, nelle settimane di agosto in cui si sono verificate le intrusioni, hanno commentato che il sistema di sicurezza di Rousseau, di beppegrillo.it e del Blog delle Stelle era obsoleto (risalente addirittura agli anni ’80). David Puente ha approfondito il problema sul suo sito personale con una serie dei articoli (qui tutta la lista) e oggi, sentito da Formiche.net, ha spiegato che nella sicurezza della piattaforma Rousseau “da quel che mi han riferito qualche settimana fa alcuni whitehat qualcosa è cambiato, ma non basta”. I whitehat, ha aggiunto Puente, che prima vigilavano sul sito e segnalavano gli errori ai programmatori “dopo il trattamento subito dal primo whitehat si sono un po’ stufati di controllare e sembra che preferiscano lasciare Rousseau al suo destino”.

LA DOPPIA VERIFICA

Il sistema della doppia verifica “a me non tranquillizza per niente”, spiega Puente. Nella sera del 6 settembre, infatti, è stata inviata una mail agli iscritti di M5s in cui si legge: “Se recentemente non sei più entrato su Rousseau ti consigliamo di fare il login da qui: rousseau.movimento5stelle.it. Da alcuni giorni infatti, oltre che inserire l’email e la password, dovrai inserire anche un codice che riceverai via sms al numero di telefono inserito nel tuo profilo sul MoVimento 5 Stelle”. È sufficiente o è solo una cortina di fumo? “Il problema – risponde Puente – non era il login, ma la possibilità di alterare ed intervenire sul database tramite altre falle di sicurezza. Puoi installare una porta blindata per la tua sicurezza, ma se il muro è in cartongesso…” e poi conclude: “La storia della doppia verifica non ha a che fare con il problema di sicurezza del database”.

COSA È CAMBIATO DA AGOSTO?

In molti si chiedono che cosa sia cambiato da agosto. Su Rousseau, per tutta l’estate, sono proseguite le votazioni sulle varie sezioni del programma del Movimento 5 Stelle, anche se sul blog di Grillo avevano assicurato che “la nuova versione di Rousseau, come spiegato anche dallo stesso hacker, non presenta più la vulnerabilità segnalata”, gli interrogativi aperti sono ancora tanti. Inoltre senza i whitehat a vigilare liberamente, non resta che affidarsi alle comunicazioni della Casaleggio e Associati che gestisce i vari siti del Movimento 5 Stelle.


×

Iscriviti alla newsletter