Beppe Grillo e la Casaleggio Associati sapevano dei problemi di sicurezza delle piattaforme del Movimento 5 Stelle dal 2012, o almeno avrebbero potuto saperlo. Secondo una ricostruzione del programmatore e debunker David Puente, infatti, le debolezze strutturali del sito movimento5stelle.it erano state segnalate da un utente che si diceva diffidente nei confronti della piattaforma: “Mi dispiace ma io non mi fido. E non di Beppe ma della piattaforma informatica di questo sito”. Intanto, sia durante le votazioni di venerdì scorso su Rousseau che nei giorni successivi l’hacker R0uge_0 ha nuovamente “bucato” i siti del Movimento 5 Stelle. Ecco tutti gli ultimi dettagli.
IL COMMENTO DEL 2012
“Beppe, quello che fai per l’Italia è importantissimo. Anch’io aspetto come gli altri LO strumento che ci permetterà di mostrare la vera DIFFERENZA del M5S rispetto ai partiti. E non è la rinuncia dei rimborsi, non è l’assenza di condannati ma è soprattutto la DEMOCRAZIA DIRETTA. Purtroppo però questo strumento finora non si è visto. Basterebbe usare Liquid Feedback che è costruito ad hoc. E invece ci dici di caricare le nostre carte di identità. Mi dispiace ma io non mi fido. E non di Beppe ma della piattaforma informatica di questo sito”. Sono le parole scritte il 4 ottobre del 2012 dall’utente certificato Emanuele S. sul blog di Beppe Grillo in cui si segnalano i problemi di sicurezza dell’allora unica piattaforma del movimento di Beppe Grillo, movimento5stelle.it, che proseguiva spiegando le ragioni della sua diffidenza. “Il sito utilizza – si legge nel commento – Movable Type Enterprise 4.31, che è vulnerabile ad almeno un attacco di SQL Injection. Tutte queste carte d’identità, anche se fotocopiate, possono far gola a qualche malintenzionato. Cosa succede se riescono a rubarle? Un casino. Perciò intanto bisogna aggiornare la versione di Movable Type, e poi queste carte di identità … sarebbe meglio verificarle per le strade con dei banchetti ed in cambio fornire un codice di accesso personale, no?”. Un commento che pare essere passato inosservato, almeno alla luce degli ultimi problemi registrati dalle piattaforme gestite dalla Casaleggio Associati, e segnalato da David Puente, che già a Formiche.net aveva spiegato le sue preoccupazioni sulla sicurezza di Rousseau nelle scorse settimane.
NUOVO ATTACCO HACKER
Dopo l’attacco hacker dello scorso agosto, quando l’utente Rougue0 aveva bucato le piattaforme del Movimento 5 Stelle trafugando una lunga serie di dati dal database (dati sensibili sugli utenti registrati) messi poi in vendita, la Casaleggio Associati e Beppe Grillo avevano assicurato di aver messo in moto una serie di verifiche e di rafforzamenti della sicurezza di Rousseau e del sito movimento5stelle.it. Durante le votazioni per scegliere il candidato premier del Movimento, che si sono tenute giovedì 21 e venerdì 22 settembre, l’hacker è entrato di nuovo in azione accedendo a Rousseau con l’account di diversi attivisti (malgrado lo stratagemma della doppia verifica della password attraverso l’invio di un codice tramite sms, ugualmente aggirato), dimostrando di aver votato più volte e di avere quindi accesso ancora al database degli iscritti al Movimento.
La password non basta,i geni alla @casaleggio hanno messo una misura di sicurezza inviolabile per la sicurezza TOTALE del voto: l’SMS.
LOL— rogue0 (@r0gue_0) 22 settembre 2017
Inoltre, è riuscito ad accedere al profilo di vari esponenti del Movimento e della Casaleggio Associati, come quello – non ancora disattivato – di Gianroberto Casaleggio.
Seriously, I can continue all night long this way. Let’s jump to #lulziest one.#JeSuisGianRoby #FromHellWithLove pic.twitter.com/sdZafNfmFM — rogue0 (@r0gue_0) 24 settembre 2017
ANCORA NESSUN CHIARIMENTO
Da parte della Casaleggio Associati e del Movimento 5 Stelle ancora non sono stati forniti ulteriori dettagli sull’attacco hacker, sulle informazioni sottratte da R0gue_0 e sulle eventuali contromisure per il futuro. Tuttavia, alla chiusira delle votazioni per il candidato premier vinte poi da Di Maio, in un post sul blog di Grillo è stato precisato che durante il voto “abbiamo notato dei tentativi di attacchi, simili ai precedenti, che sono stati respinti. La nostra casa era difesa come una fortezza e le nostre telecamere di sicurezza virtuali hanno registrato tutte le tracce lasciate utili per la loro identificazione, che saranno prontamente girate alla polizia postale”. Le ragioni dei problemi riscontrati da molti utenti, invece, sono state motivate con “un’alta affluenza in contemporanea di tantissimi iscritti fin dalle prime ore di apertura”, e “considerati i vili attacchi hacker di quest’estate che ci hanno fatto sudare sette camicie in agosto per innalzare la sicurezza e l’affidabilità del Sistema Operativo […] non si può che essere soddisfatti”. “Continueremo anche a investire in tecnologia per rendere Rousseau sempre migliore – si legge in conclusione -, funzionale e usabile. Pensate a come era Rousseau un anno fa. Pensate a come è oggi. Pensate infine a come sarà tra un anno”.