M5S, hacker dimostra la vulnerabilità di Rousseau: “Ho bucato il sito, dati a rischio”
Dopo meno di 24 ore dalla presentazione, la nuova versione di Rousseau, la piattaforma del Movimento 5 Stelle, è già stata hackerata, seppur a solo fine dimostrativo e senza voler recare danni agli utenti. Nomi, mail, donazioni ma anche i dati sulle votazioni online e il limite di otto caratteri per le password rende le votazioni ”manipolabili” anche con pc poco potenti.
Evariste Galois (questo il nome d’arte dell’esperto di sicurezza) ha spiegato mediante un sito ad hoc (#hack5stelle) e attraverso la diffusione sui social di diversi dati, la vulnerabilità del sito.
Galois afferma:
“Questo non è un attacco politico. Ho aperto questo sito solamente per avvisare gli iscritti i loro dati sensibili sono potenzialmente a rischio. Ho avvisato via e-mail i gestori del sito della vulnerabilità trovata che mi hanno risposto che stanno lavorando per risolvere il problema, in questo momento la variabile non mi sembra più vulnerabile. Non scriverò qual era la variabile vulnerabile. Non escludo possano esserci ulteriori vulnerabilità o errori nel sito”.
Gli è stato possibile “rubare” informazioni come i dati sulle donazioni, per la precisione “nome, cognome, e-mail, città, importo, tipologia di pagamento” e le tabelle di votazioni online non rendendo sicuro questo sistema di voto.
In merito alle altre vulnerabilità del sito, dice:
“Non posso saperlo, ma non posso escluderlo. Purtroppo capita che i programmatori commettano qualche errore, e che ci sia qualcuno che se ne accorge e decide di approfittarne. Come utenti purtroppo non potete fare molto, ma potete chiedere la maggior trasparenza possibile e un canale di comunicazione diretto con lo staff che si occupa della parte tecnica del sito. Proporre di aprire un piccolo programma di bug bounty per premiare chi segnala una vulnerabilità potrebbe essere un’idea”.
E conclude:
“Mi riallaccio alla premessa iniziale: questa pagina non è un attacco politico. È stata pubblicata solo con l’intento di rendere trasparente e semplice una questione importante: i dati personali di molte persone erano ottenibili a causa di una vulnerabilità presente nel sito. È quindi corretto che le persone vengano a saperlo, essendo quei dati i loro”.