Logo Dagospia
beppe grillo davide casaleggio

MANCO 24 ORE, E GIÀ HANNO HACKERATO IL SITO DEL MOVIMENTO 5 STELLE - CASALEGGIO AVEVA APPENA LANCIATO LA NUOVA VERSIONE DI ‘ROUSSEAU’ QUANDO IL ‘PIRATA BUONO’ EVARISTE GAL0IS HA DIMOSTRATO COME SIA FACILMENTE PENETRABILE: ‘AD ESEMPIO HO POTUTO LEGGERE NOME, COGNOME, EMAIL, RESIDENZA E IMPORTO VERSATO DAI DONATORI DEL MOVIMENTO’

Andrea Nepori per www.lastampa.it

 

Su Twitter si fa chiamare Evariste Gal0is, ma nessuno conosce la sua identità. È l’hacker “white hat” (cioè buono) che ha scoperto una grave vulnerabilità della nuova piattaforma Rousseau, il “sistema operativo” del Movimento 5 Stelle che Davide Casaleggio ha rilanciato a Roma con una conferenza stampa. 

DAVIDE CASALEGGIODAVIDE CASALEGGIO

 

Nel minisito #Hack5Stelle in cui descrive la falla, Evariste Gal0is precisa subito che il suo “non è un attacco politico”. Lo scopo delle sue rivelazioni è avvisare gli iscritti al sito rousseau.movimento5stelle.it che “a causa di una variabile vulnerabile a SQL injection i loro dati sensibili sono potenzialmente a rischio”. 

 

INIEZIONI DI SQL 

La SQL injection è una tecnica di attacco che permette di eseguire codice su una base di dati dall’esterno, grazie all’iniezione di comandi all’interno di variabili di inserimento dati non sicure. In questo modo è possibile leggere le tabelle del database e scaricarne i contenuti.

 

Nel caso della piattaforma Rousseau l’hacker è riuscito ad accedere al sistema senza avere alcun privilegio da amministratore. “Impartendo pochi comandi” ha potuto visualizzare le informazioni personali degli iscritti, ad esempio quelle di chi che ha effettuato una donazione. Tra i dati sensibili vulnerabili c’erano il nome e il cognome dell’attivista, l’e-mail, la città di residenza, l’importo versato e la tipologia di pagamento utilizzata. 

 

 

PASSWORD TROPPO CORTE 

IL POST DI ELISA BULGARELLI CONTRO DAVIDE CASALEGGIOIL POST DI ELISA BULGARELLI CONTRO DAVIDE CASALEGGIO

La vulnerabilità del database di Rousseau non è l’unica debolezza della piattaforma online del M5S svelata dall’hacker. Al momento dell’iscrizione il sistema obbliga infatti a scegliere password lunghe al massimo 8 caratteri, una limitazione che si presta a rendere insicure le parole chiave scelte dagli utenti. 

 

“Sapendo che la lunghezza massima è di soli otto caratteri e che le date di nascita nel formato giorno/mese/anno sono lunghe esattamente otto cifre”, si legge ancora nel minisito #Hack5stelle, “è abbastanza logico tentare un attacco dizionario con una lista di numeri da 00000000 a 99999999”.

 

Utilizzando il programma gratuito John The Ripper l’hacker ha condotto la prova descritta, riuscendo a craccare 136 password su un campione casuale di 2517 utenti in 21 ore, con un esito positivo del 5,40%: “una percentuale non irrisoria che potrebbe pesare, ad esempio, nelle votazioni online”. 

 

INFORMAZIONI ATTENDIBILI 

beppe grillo davide casaleggiobeppe grillo davide casaleggio

«Dalla descrizione delle operazioni eseguite mi sembra che le informazioni siano tutte attendibili; inoltre le tabelle del database sono compatibili con il tipo di piattaforma», dice a La Stampa Matteo Flora, hacker, esperto di sicurezza online e fondatore di The Fool, un’agenzia che si occupa di gestione della reputazione online. «Il problema delle vulnerabilità sensibili alle SQL Injection, come quella scoperta su Rousseau, è che tradiscono una debolezza generale del sistema. In altre parole è molto probabile che ci possano essere altre falle ancora aperte oltre a quella già scoperta».

 

«Il rischio principale è ovviamente il furto di dati», spiega ancora Flora, «ma non vanno escluse altre possibilità di attacco, come il phishing: con le informazioni sensibili ricavate dal database è facile preparare email convincenti da inviare agli iscritti per ingannarli e carpire altri dati sensibili o le credenziali di accesso. Poi c’è il rischio profiling, la possibilità di creare un elenco dei donatori del Movimento. Alcuni potrebbero non aver piacere ad apparire a loro insaputa».

 

PRIMO CONTATTO 

PIATTAFORMA ROUSSEAU 2PIATTAFORMA ROUSSEAU 2

Non appena scoperta la vulnerabilità, Evariste Gal0is ha provveduto a tenerla segreta, come si conviene a un “hacker etico”, e l’ha comunicata direttamente ai responsabili del sito dei 5 Stelle.

 

«Non ho trovato alcuna e-mail per contattare lo staff tecnico, ma solo un form generico per qualunque tipo di problema. Ho [inviato un messaggio] con questa opzione, e [ho] provato a segnalare il problema anche con un tweet all’account ufficiale del Mov5Stelle» spiega via email a La Stampa in risposta a una richiesta di commento. «Il giorno dopo mi hanno contattato via e-mail, dicendomi che stavano lavorando per risolvere il problema. Avevano applicato un primo fix e mi chiedevano se andava bene e se conoscevo altre vulnerabilità simili. Ho risposto spiegando che [la soluzione] era incompleta e il parametro rimaneva vulnerabile.

 

Ho inoltre detto loro che vulnerabilità simili, cioè ulteriori parametri vulnerabili a SQL injection, non ne conoscevo, ma che non reputavo sicuro il sistema, essendo il sito beppegrillo.it e [i sottodomini del sito] movimento5stelle.it pieni di altre vulnerabilità. Dopo questa e-mail non sono stato più contattato. Li ho avvisati che avrei diffuso la notizia della vulnerabilità senza rivelare informazioni sul parametro vulnerabile».

 

SUGGERIMENTI 

PIATTAFORMA ROUSSEAUPIATTAFORMA ROUSSEAU

Nel minisito in cui descrive la falla, l’hacker ha raccolto alcuni consigli per gli iscritti alla piattaforma. Li invita ad esempio a cambiare subito le password dei propri account, dell’indirizzo email fornito al momento della registrazione e dei propri profili social, “specialmente se avete usato dati personali come la data di nascita”. 

 

Ai responsabili del sito suggerisce invece di aprire un indirizzo email apposito cui segnalare le potenziali problematiche di sicurezza, di assumere una posizione di maggiore trasparenza con gli iscritti sul problema del possibile furto di dati e di attivare un programma di “bug bounty”, ovvero un sistema di ricompense per gli hacker buoni che li invogli a segnalare vulnerabilità e bug. 

 

Conclude infine reiterando che il minisito #hack5stelle non ha alcuno scopo politico, ma è stato creato “solo con l’intento di rendere trasparente e semplice una questione importante: i dati personali di molte persone erano ottenibili a causa di una vulnerabilità del sito”.

Ultimi Dagoreport

elon musk steve bannon village people donald trump

KITSCH BUSSA ALLA NOSTRA PORTA? – LA MOTOSEGA DI MUSK, I SALUTI ROMANI DI BANNON, IL BALLO DI TRUMP COI VILLAGE PEOPLE: FARSA O TRAGEDIA? - VINCENZO SUSCA: ‘’LA CIFRA ESTETICA DELLA TECNOCRAZIA È IL KITSCH PIÙ SFOLGORANTE, LOGORO E OSCENO, IN QUANTO SPETTACOLARIZZAZIONE BECERA E GIOCOSA DEL MALE IN POLITICA - MAI COME OGGI, LA STORIA SI FONDA SULL’IMMAGINARIO. POCO IMPORTANO I PROGRAMMI POLITICI, I CALCOLI ECONOMICI, LE QUESTIONI MORALI. CIÒ CHE IMPORTA E PORTA VOTI, PER L’ELETTORE DELUSO DALLA DEMOCRAZIA, TRASCURATO DALL’INTELLIGHÈNZIA, GETTATO NELLE BRACCIA DI TIK TOK, X, FOX NEWS, È EVOCARE NEL MODO PIÙ BRUTALE POSSIBILE LA MORTE DEL SISTEMA CHE L'HA INGANNATO”
friedrich merz ursula von der leyen manfred weber giorgia meloni

DAGOREPORT - CON LA VITTORIA IN GERMANIA DELL’ANTI-TRUMPIANO MERZ E IL CONTENIMENTO DEI NAZI DI AFD NELLE FILE DELL’OPPOSIZIONE, TUTTO È CAMBIATO - E DAVANTI A UN’EUROPA DI NUOVO IN PIEDI, DOPO IL KNOCKOUT SUBITO DAL CALIGOLA DELLA CASA BIANCA, PER LA ‘DUCETTA’ SI PREPARANO GIORNI ALL’INSEGNA DELLE INVERSIONI A U – L’ITALIA HA VOTATO CON L'EUROPA LA RISOLUZIONE SULL'INTEGRITÀ TERRITORIALE DI KIEV, CONTRO GLI STATI UNITI – CHI HA CAPITO L’ARIA NUOVA CHE TIRA, E' QUEL “GENIO” DI FAZZOLARI: “LA VOGLIA DI LIBERTÀ DEL POPOLO UCRAINO CHE È STATA PIÙ FORTE DELLE MIRE NEO IMPERIALI DELLE ÉLITE RUSSE” - SE NON AVESSE DAVANTI QUELL’ANIMALE FERITO,  QUINDI PERICOLOSO, DI SALVINI, LA STATISTA DELLA GARBATELLA FAREBBE L’EUROPEISTA, MAGARI ALL’ITALIANA, CON UNA MANINA APPOGGIATA SUL TRUMPONE – MA ANCHE IN CASA FDI, C’È MARETTA. IL VICEMINISTRO DEGLI ESTERI EDMONDO CIRIELLI HA IMPLORATO MERZ DI FARE IL GOVERNO CON I POST-NAZI DI AFD…
veronica gentili alessia marcuzzi roberto sergio giampaolo rossi myrta merlino

A LUME DI CANDELA - “QUESTO PROGRAMMA NON È UN ALBERGO”: AI PIANI ALTI DI MEDIASET SI RUMOREGGIA PER LE FREQUENTI ASSENZE DI MYRTA MERLINO A “POMERIGGIO CINQUE” (LE ULTIME RICHIESTE: DUE GIORNI A MARZO E PONTE LUNGHISSIMO PER PASQUA E 25 APRILE) – VERONICA GENTILI ALL’ISOLA DEI FAMOSI: È ARRIVATA LA FUMATA BIANCA – IL NO DI DE MARTINO AGLI SPECIALI IN PRIMA SERATA (HA PAURA DI NON REPLICARE IL BOOM DI ASCOLTI) – CASCHETTO AGITATO PER LE GAG-ATE DI ALESSIA MARCUZZI - LO SHAMPOO DELLA DISCORDIA IN RAI - IL POTENTE POLITICO DI DESTRA HA FATTO UNA TELEFONATA DIREZIONE RAI PER SOSTENERE UNA DONNA MOLTO DISCUSSA. CHI SONO?
donald trump paolo zampolli

DAGOREPORT - LA DUCETTA SUI TRUMP-OLI! OGGI ARRIVA IN ITALIA IL MITICO PAOLO ZAMPOLLI, L’INVIATO SPECIALE USA PER IL NOSTRO PAESE, NONCHÉ L’UOMO CHE HA FATTO CONOSCERE MELANIA A DONALD. QUAL È IL SUO MANDATO? UFFICIALMENTE, “OBBEDIRE AGLI ORDINI DEL PRESIDENTE E ESSERE IL PORTATORE DEI SUOI DESIDERI”. MA A PALAZZO CHIGI SI SONO FATTI UN'ALTRA IDEA E TEMONO CHE IL SUO RUOLO SIA "CONTROLLARE" E CAPIRE LE INTENZIONI DELLA DUCETTA: L’EQUILIBRISMO TRA CHEERLEADER “MAGA” E PROTETTRICE DEGLI INTERESSI ITALIANI IN EUROPA È SEMPRE PIÙ DIFFICILE – I SONDAGGI DI STROPPA SU PIANTEDOSI, L’ATTIVISMO DI SALVINI E LA STORIA DA FILM DI ZAMPOLLI: FIGLIO DEL CREATORE DELLA HARBERT (''DOLCE FORNO''), ANDÒ NEGLI STATES NEGLI ANNI '80, DOVE FONDÒ UN'AGENZIA DI MODELLE. ''TRA LORO HEIDI KLUM, CLAUDIA SCHIFFER E MELANIA KNAUSS. PROPRIO LEI…”
giorgia meloni donald trump joe biden

DAGOREPORT – GIORGIA MELONI, FORSE PER LA PRIMA VOLTA DA QUANDO È A PALAZZO CHIGI, È FINITA IN UN LABIRINTO. E NON SA DAVVERO COME USCIRNE. STAI CON NOI TRUMPIANI O CONTRO DI NOI? CI METTI LA FACCIA O NO? IL BRITANNICO NEO-MAGA NIGEL FARAGE HA DICHIARATO CHE AVREBBE PREFERITO CHE MELONI PRENDESSE POSIZIONI PIÙ DURE CONTRO L’UNIONE EUROPEA, ALTRO SEGNALE: COME MAI ANDREA STROPPA, TOYBOY DELL'ADORATO MUSK, SPINGE SU X PER IL RITORNO DI SALVINI AL VIMINALE? VUOLE PER CASO COSTRINGERMI A USCIRE ALLO SCOPERTO? OGGI È ARRIVATA UN'ALTRA BOTTA AL SISTEMA NERVOSO DELLA STATISTA DELLA GARBATELLA LEGGENDO LE DICHIARAZIONI DI JORDAN BARDELLA, IL PRESIDENTE DEL PARTITO DI MARINE LE PEN, CHE HA TROVATO L’OCCASIONE DI DARSI UNA RIPULITA PRENDENDO AL VOLO IL "GESTO NAZISTA" DI BANNON PER ANNULLARE IL SUO DISCORSO ALLA CONVENTION DEI TRUMPIANI A WASHINGTON - E ADESSO CHE FA L’EX COCCA DI BIDEN, DOMANI POMERIGGIO INTERVERRÀ LO STESSO IN VIDEO-CONFERENZA?