A distanza di quasi due mesi dal primo attacco alla piattaforma Rousseau, nella giornata di ieri si è verificato un altro tentativo, come sempre ben riuscito, di attacco hacking.
Questo tipo di attacco si è verificato quando 37 mila persone stavano fornendo il loro voto durante le “primarie” online del partito.
Questa volta in favore di questo atto a danno del movimento, è stato il sistema di login, che a quanto pare non ha retto. Infatti, la piattaforma, ha si un sistema di autenticazione a due fattori, che prevede quindi l’autenticazione standard con nome utente e password, ma richiede anche un codice univoco che viene inviato ad ogni tentativo di accesso all’utente che richiede il login.
Il problema è che questo tipo di sistema di autenticazione è inutile, se poi l’intera infrastruttura che gestisce la piattaforma, non è in grado di mettere in sicurezza gli accessi. Infatti questo tipo di hacking si è svolto mediante un semplice fattore: l’hacker si è registrato alla piattaforma, si è loggato e poi, modificando il cookie di sessione (il sistema di autenticazione a quanto pare funziona a sessione), ha modificato l’username di autenticazione con un altro presente nel database.
Quindi per la piattaforma era tutto ok. L’autenticazione c’era, il cookie di accesso c’era, ma l’hacker (che guarda caso è lo stesso del primo evento descritto pochi mesi fa), poteva switchare tra un user e l’altro senza problemi, con una semplicità spaventosa. Spaventosa in quanto una piattaforma che si comporta in questo modo è da prendere, cestinare e rifare da 0, per correggere e per essere sicuro di aver risolto ogni singolo problema.
Che cos’è avvenuto in questo evento?
In questo evento, si è verificato il fatto che numerosi voti lasciati da svariati utenti non sono attendibili. Come si fa a sapere se un determinato voto sia autentico o non sia stato rilasciato o modificato dall’autore di questo attacco?
Inoltre, come la volta precedente, tutti i dati degli utenti registrati alla piattaforma, sono stati rubati e messi in vendita online. Quindi ora 37 mila persone hanno i propri dati anagrafici e il proprio indirizzo di residenza e domicilio in vendita, acquistabili praticamente da chiunque.
E niente questo era un piccolo aggiornamento sulla situazione di M5S, che a quanto pare a distanza di due mesi non è migliorata.
Con questo è tutto… alla prossima!
