Su Twitter è Evariste Galois. Anzi: era. “Eliminarmi da Twitter mi ha dato giorni di tranquillità. Il sito dove ho denunciato tutto, invece, è caduto offline per le troppe visite”. Il primo hacker che ha violato la piattaforma Rousseau, il sistema operativo del M5s, ha rivelato all’agenzia Agi le modalità con cui è entrato nell’ecosistema online dei pentastellati. Mentre Beppe Grillo (nella foto), sul suo blog, annunciava azioni legali contro di lui, Rousseau è stata attaccata da un secondo pirata informatico, denominato r0gue-0, che ha rubato dati sensibili e numeri di telefono d’iscritti ed eletti del M5s. In questo caso, a rischiare di finire in tribunale dopo la violazione d’informazioni personali potrebbe essere la Casaleggio Associati, che gestisce la piattaforma sul web.
LA SEGNALAZIONE ALLA CASALEGGIO
Galois ha precisato di aver bucato Rousseau per evidenziarne le falle. “Lo scopo era dimostrativo, dimostrare cioè che potevo aver accesso a quei dati. Il pericolo era il sito e la sua sicurezza, non io”, ha spiegato l’hacker, che ha rivelato di aver contattato privatamente la Casaleggio Associati prima di divulgare le debolezze di Rousseau. “Li ho contattati uno o due giorni prima della diffusione del sito per segnalare la vulnerabilità. Hanno ringraziato per la segnalazione, io ho avvisato che avrei pubblicato la notizia, senza però diffondere dati o dettagli troppo precisi sulla variabile vulnerabile”. Cosa che, invece, ha fatto r0gue-0, mandando in tilt la piattaforma del M5s. “Purtroppo qualcuno ha trovato altre variabili vulnerabili, e condanno il gesto”. Galois preferisce stare dietro un computer piuttosto che nell’aula di un tribunale, dove Grillo ha minacciato di portarlo. “Non ho ricevuto denunce, spero non procedano per via legale, più che altro per non perdere tempo in carte e aule di tribunale. Spero fosse solo un post di propaganda”.
NIENTE SEGRETEZZA
Per il generale della Guardia di Finanza, Umberto Rapetto, è la Casaleggio Associati a rischiare conseguenze legali in base all’articolo 15 del Codice in materia di protezione dei dati personali. “In linea teorica”, ha sottolineato Rapetto, “gli iscritti potrebbero chiedere i danni. Il problema è che bisogna cautelarsi: sta all’azienda provare che ha fatto tutto il possibile”. Secondo il docente del Politecnico di Milano, Stefano Zanero, interpellato da Cyber Affairs, “Rousseau non può assolutamente definirsi come piattaforma di voto, in quanto non rispetta alcuna delle caratteristiche comunemente associate a ciò: i votanti non possono verificare nulla delle operazioni, non c’è alcuna forma di segretezza e, in generale, non viene garantita in alcun modo la libertà di voto”.
ALLARME SULLE VOTAZIONI
Matteo Flora è un esperto informatico e amministratore delegato di The Fool, una società di reputazione online con sede a Milano. In un video su Facebook ha spiegato che le votazioni su Rousseau, se gli hacker avessero avuto la possibilità di modificare la piattaforma e non solo di leggerla, andrebbero considerate alterate. “In questi dati”, ha spiegato Flora in riferimento al materiale che r0gue-0 ha trafugato e messo in vendita a 0,3 bitcoin, poco meno di mille euro, “c’è la vita degli attivisti del movimento: nome, cognome, indirizzo, password, l’ammontare delle donazioni fatte al Movimento 5 stelle. Una schedatura come mai avvenuta in precedenza di tutti quelli che hanno contribuito a Rousseau, e probabilmente anche tutti i voti fatti in precedenza”. Ed è qui che Flora lancia l’allarme. “C’è un altro grande problema, che forse molti non hanno capito: non dico che sia impossibile, ma è altamente improbabile che chi è entrato nel database abbia avuto accesso solo in lettura. Se l’ha avuto anche in scrittura, e nessuno se n’è accorto, tutte le votazioni sono da considerarsi fatte sotto l’egida di una o più persone che hanno potuto attivamente sabotarle. Quale sicurezza dareste a un sistema che per mesi non s’è accorto che qualcuno era al suo interno? Quale sicurezza dareste a un sistema che s’è fatto bucare più volte durante la stessa settimana? Quale fiducia dareste a una realtà che dice di essere dalla parte della Rete, ma che la prima cosa che pensa, quando qualcuno segnala una vulnerabilità, è quella di denunciarlo alle autorità?”.
LA DIFESA DI CRIMI
Domande cui, sempre su Cyber Affairs, ha cercato di rispondere il senatore del M5s, Vito Crimi, uno degli attivisti che potrebbero aver subito il furto dei dati nell’attacco a Rousseau. “Parlo di presunta intrusione, perché è difficile parlare di una vera e propria intrusione nei sistemi di Rousseau”, ha detto Crimi, che fa parte del Copasir, il comitato parlamentare che vigila sull’operato dell’intelligence. “Piuttosto sembra abbiano avuto accesso a un database con dati superficiali e anche vecchi, benché contenenti dati personali, quindi, in ogni caso, un fatto di rilievo, un vero e proprio reato. Nel mio caso specifico sono state prelevate e pubblicate informazioni risalenti ad almeno tre anni fa. A ogni modo, credo che se qualcuno dovesse acquistare quei dati si ritroverebbe un pugno di mosche”. A discapito del parere degli esperti del web, secondo Crimi su Rousseau “sono stati messi in campo tutti i sistemi di sicurezza possibili”. Il senatore grillino ha difeso la piattaforma e il suo sistema di votazioni. “Rousseau è molto più di un sistema di voto. Stiamo facendo una rivoluzione”. Anche le votazioni, secondo Crimi, sono avvenute in sicurezza. “Le operazioni di voto si svolgono sotto un’attenta vigilanza e mettendo in campo ogni sistema possibile di sicurezza, e malgrado i tantissimi attacchi che arrivano, durante i voti non si sono mai verificate delle intrusioni che possano averlo viziato. Ci proveranno ancora, lo sappiamo, ma non ci fermeranno. Non fermeranno questa rivoluzione culturale”.