Questo non vuole essere un post di politica. Questo non è neppure un post informativo, dato che questa notizia è stata trasmessa (in modo errato, ma comunque è stata trasmessa) dai media nazionali. Vuole essere solo un post in cui espongo meglio la gravità di questa situazione.
Che cos’è Rousseau
Rousseau è una piattaforma del partito M5S, per permette a tutti i loro sostenitori politici, elettori, e persone interessate al partito stesso, di votare i loro futuri disegni di legge, vedere cosa stanno facendo, e fare molte altre operazioni. In pratica è una piazza virtuale dove i membri del partito politico e la popolazione che li sostiene si incontrano per discutere su svariate cose.
Questa piattaforma richiede che ogni utente o membro del partito che voglia appunto usufruire di tale servizio, una registrazione obbligatoria. La registrazione prevede l’inserimento dei dati anagrafici, codice fiscale, carta di identità, residenza, indirizzo di domicilio, dati della tessera elettorale e altri documenti. Insomma, queste persone vengo schedate in modo completo per poi far si che il partito possa fare un’indagine e un analisi sui loro elettori e sostenitori in generale.
Rousseau raccoglie anche i dati dei voti dei sostenitori, raccoglie tutte le firme dei disegni di legge, raccoglie tutte le proposte di legge delle persone. Insomma, raccoglie un bel po’ di dati, come abbiamo appena affermato.7
Che cos’è successo a questa piattaforma
A questa piattaforma hanno fatto uno o più attacchi di SQL Injection. Dico uno o più attacchi in quanto l’hacker che si è infiltrato nei sistemi della loro piattaforma è rimasto come amministratore della macchina, con potenziale accesso al database in lettura e scrittura, senza che nessuno se ne accorgesse, diversi mesi. Quindi per tutto questo tempo nessuno si è reso conto che qualcuno stava continuando a monitorare i dati, li stava raccogliendo e magari li stava anche modificando.
Ma raccontiamo bene la vicenda
Un utente twitter (esperto informatico e white hat segnalato anche dal movimento politico) ha provato a segnalare allo stesso movimento che il sito presentava determinate falle di sicurezza. Il movimento per tutta risposta ha denunciato la persona, sostenendo che aveva cercato di hackerare il loro portale.
Dopo aver ricevuto la denuncia, questo stesso utente ha scritto un bell’articolo, omettendo i dati tecnici per far si che queste vulnerabilità non siano svelate in pubblico (quindi è stato anche rispettoso per il movimento), in cui mostra quali sono le vulnerabilità della piattaforma, le modalità in cui le ha segnalate al movimento e la relativa risposta di M5S (ovvero la denuncia penale).
L’intero articolo lo troverete presso questo indirizzo.
L’autore del post scrive anche alcune raccomandazioni agli utenti, per evitare che il loro account all’interno della piattaforma rousseau possa essere violato.
Successivamente il movimento sostiene che loro non hanno ricevuto alcun attacco durante le votazioni. Come se ogni hacker aspettasse le votazioni per effettuare un attacco. Fatto sta che questa è la loro filosofia di pensiero.
Ovviamente è facile poter capire che in realtà un simile attacco possa essere effettuato in qualsiasi momento. Soprattutto con un admin di un server, abusivo, diciamola così.
Intanto un’altra persone, sempre su twitter, ha effettuato un attacco hacker vero e proprio alla piattaforma Rousseau di M5S e inizia a pubblicare dati del database. Dati che risultano appartenere veramente a persone reali, che hanno registrato un account all’interno della piattaforma.
Ricordo che la piattaforma raccoglie tantissimi dati sensibili degli utenti, quali l’indirizzo di residenza, di domicilio, dati anagrafici, opinioni politiche e molte altre informazioni. Informazioni che vanno in giro per la rete.
Questo stesso utente, per finire, decide di fare questo:
Per chi non abbia capito, ha messo in vendita gran parte del database di Rousseau, al prezzo di 0,3 BTC (questa è la moneta bit coin e la cifra scritta, sarebbe 1000 euro).
Quindi ogni copia del database -> 1000 euro. Ora non so che tipo di persone possano comprare queste informazioni, ma non penso che possano essere brave persone.
Inoltre non so di cosa possano farne di tutti questi dati le persone che compreranno questo pacchetto informazioni. Sicuramente nulla di buono.
E ora?
La cosa scandalosa è che la piattaforma rousseau è ancora aperta, nonostante tutto, pronta a ricevere nuovi utenti. La cosa scandalosa è che i giornali e i media nazionali non hanno detto quasi nulla sulla gravità della situazione. Un numero spropositato di informazioni personali di migliaia di persone, in giro per la rete e nessuno dice niente. O comunque dice veramente troppo poco, secondo me.
In conclusione
Ho voluto scrivere questo mio piccolo post per informarvi su questa situazione secondo me davvero molto grave.
Con questo è tutto…. alla prossima!
