Puntuale come un orologio svizzero, e per il terzo giorno di seguito, l’hacker r0gue_0 continua a pubblicare dati esfiltrati dalla piattaforma del Movimento 5 Stelle, Rousseau, su Twitter. Ieri sera, infatti, l’hacker ha condiviso un link a cui era possibile consultare e scaricare una tabella con, sembra, dei test di voto fatti dagli sviluppatori della piattaforma nel 2013, ma negli scorsi giorni erano stati resi pubblici dati sensibili (email, numeri di telefono, password) di esponenti di spicco del Movimento, come il vicepremier (e capo politico di M5S) Luigi Di Maio, il ministro della giustizia Alfonso Bonafede, la sindaca di Roma Virginia Raggi, la vicepresidente del Senato Paola Taverna. Insomma,
PROBLEMI DI SICUREZZA, MA NON SOLO
Come sottolineato in una conversazione con Formiche.net dall’esperto informatico Arturo Di Corinto, l’hacking di r0gue_0 ai danni di Rousseau, seppure con metodi non condivisibili, ha acceso un faro sulla sicurezza di una piattaforma che gestisce dati sensibili di elettori e cittadini di una forza politica attualmente al governo. Per questo, su Twitter ma non solo, il dibattito sulla sicurezza di Rousseau ha portato altri utenti a muoversi all’interno della piattaforma, segnalandone poi gli aspetti critici. Un utente, infatti, ha segnalato la presenza di una stringa di codice, un errore, su una pagina visibile a tutti gli utenti di Rousseau (qui il tweet). Al tweet le risposte non sono mancate, anche da parte di esperti di sicurezza informatica che segnalano come questo renda chiaro che “il sistema sia scritto da gente che non ha le competenze di base minime”.
L’OPINIONE DEL DEBUNKER DAVID PUENTE
“Se avessero fatto a priori, prima del Garante, dei test di sicurezza e controlli sulla piattaforma non avremmo avuto tutto questo problema – spiega David Puente, debunker ed ex dipendente della Casaleggio e Associati, interpellato da Formiche.net -. Se ancora dopo il Garante vediamo questi errori o hanno fatto fare i test di sicurezza a qualcuno di non bravo, o ad uno bravo senza raccogliere i consigli (per evitare questi errori) o hanno fatto tutto in casa”. Come ricordato da Puente, infatti, la piattaforma del Movimento è sotto l’occhio attento del Garante della Privacy da quando, l’agosto scorso, si era verificato il primo attacco. A fine settembre, dopo una proroga concessa dallo stesso Garante, Davide Casaleggio dovrà comunicare di aver approntato le modifiche di sicurezza richieste per la protezione dei dati degli utenti, anche se con il nuovo attacco potrebbero esserci ulteriori sviluppi anche in questo versante.
ASSOCIAZIONE ROUSSEAU O CASALEGGIO E ASSOCIATI?
“La cosa curiosa – commenta ancora Puente riguardo la stringa di codice segnalata su Twitter – è che pur essendo la piattaforma Rousseau dell’Associazione Rousseau, si trova ancora negli stessi server di prima e in uso dalla Casaleggio”. Insomma, aggiunge, “nonostante abbiano più volte voluto ‘staccare’ la società dall’Associazione, i server sono gli stessi di prima e gestiti dalla Casaleggio. Sempre sotto http://IT.net , la società che fornisce il server”. Tecnicismi a parte, conclude Puente, “la cosa preoccupante è il fatto che errori del genere li avrebbero notati se fosse stato fatto un controllo di sicurezza serio e avessero operato per risolvere ogni singola segnalazione”.
