M5S News

M5S, votazioni a azzardo per il candidato premier: gli hacker bucano Rousseau

Roma - Sembrava una sciocchezza, quasi una provocazione, piuttosto comune nel mondo parallelo del web, tra smanettoni e geniacci che si divertono a «bucare» i sistemi del potere. E invece adesso, al secondo hackeraggio, la condizione sembra preoccupare i vertici del M5S, consapevoli che l’architettura non può apparire fallace a un mese dalla votazione più importante per la storia del Movimento di Beppe Grillo: quella che incoronerà il candidato premier. L’attacco è stato al cuore del sistema della democrazia diretta a 5 Stelle: ha colpito la piattaforma Rousseau che l’Associazione titolare e Davide Casaleggio avevano assicurato fosse stata già messa al sicuro.

Dalla Casaleggio e dal M5S continuano le rassicurazioni («stiamo monitorando») ma diversi parlamentari si dicono preoccupati anche di fronte all’esigenza di dimostrare l’infallibilità del voto attraverso la certificazione di un’agenzia esterna alla Casaleggio, come richiesto da una parte dei militanti.

In poche ore un’ombra è calata sul gioiellino di famiglia, un vanto per Casaleggio Jr che ha voluto condividere con i giornalisti stranieri proprio mentre Rousseau veniva assaltato. Tutto inizia intorno al 2 agosto, poche ore dopo il lancio a Roma della nuova versione del “sistema operativo” del M5S con cui gli iscritti possono votare su temi e candidati. Compare online un hacker, con lo pseudonimo Evariste Gal0is che, attraverso un profilo Twitter e un minisito, sostiene di aver scoperto una grave falla di sicurezza proprio sulla neonata piattaforma digitale.

Tecnicamente, è una vulnerabilità a una tecnica di attacco piuttosto comune nota come Sql Injection e usata spesso per accedere a database, leggerne i contenuti e scaricarli. Nel caso specifico, scriveva Gal0is, ci si poteva così impadronire dei dati sensibili degli utenti: nome, cognome, email, password, cellulare ma anche donazioni.

L’hacker non aveva diffuso i dati, e sosteneva di aver avvisato via mail i responsabili del sito, di aver ricevuto una prima risposta, e poi più nulla. Così, avrebbe deciso di divulgare pubblicamente la presenza della vulnerabilità, ma senza specificare quale fosse, per evitare che altri potessero sfruttarla a danno degli utenti. «Non è un attacco politico», scriveva ancora l’anonimo hacker, specificando di voler solo avvisare gli iscritti.

«Se è vero quello che dice, ha fatto quella che si chiama in gergo divulgazione responsabile della vulnerabilità, perché non ha pubblicato i contenuti né il metodo per accedere agli stessi», commenta Matteo Flora, esperto di sicurezza informatica e ad di The Fool. Una sorta di “white hat”, hacker etico, come si dice nel settore. Il suo atteggiamento però non è piaciuto all’Associazione Rousseau che ha minacciato ritorsioni legali, replicando che comunque la sua azione era avvenuta sulla prima versione della piattaforma, e che la falla non era più presente.

A quel punto, Gal0is, dopo aver spiegato sul suo minisito di non volere tutta quella pubblicità, è sparito da Twitter. Tuttavia, poche ore dopo, compare online un nuovo profilo Twitter, r0gue_0. Che sostiene di essere un altro hacker, ma niente affatto “etico”. E infatti inizia a diffondere alcuni dati apparentemente sottratti alla nuova piattaforma, non a quella vecchia, almeno così lui sostiene. Ma afferma anche di essere «dentro» il sistema da mesi. Secondo un post pubblicato dal blogger ed ex dipendente della Casaleggio, David Puente, tra questi dati sembrerebbero esserci effettivamente dati personali di utenti e loro donazioni, e il numero privato del senatore Vito Crimi.

Un precedente che apre inquietanti interrogativi sulla possibile manipolazione delle votazioni su Rousseau e sui tempi per tappare il buco e mettere in sicurezza il sistema. Cosa significherebbe per la piattaforma, infatti, se l’intrusione venisse confermata?

«Diversi problemi: intanto bisognerebbe capire se è vero che da mesi l’attaccante era dentro il sistema e cosa avrebbe fatto», commenta Flora. «Poi, mostrerebbe che l’applicazione continua a essere vulnerabile. Infine, occorrerebbe capire a questo punto come metterla in sicurezza».

A settembre sono previste votazioni su Rousseau. «Non è impossibile farlo per tempo ma certo una revisione profonda richiede decine di giornate di lavoro, e da parte di professionisti di alto livello. Vedo difficile riuscire a fare in poco tempo qualche cosa di diverso».