Un hacker ha annunciato una vulnerabilità nel Blog delle Stelle

raffaele angius

"Siamo riusciti a respingere tutte le attività di chi voleva che questo voto non andasse nella direzione giusta". Lo ha detto a La7 Enrica Sabatini tra i responsabili dell'Associazione Rousseau a proposito della votazione on line sul governo M5s-Pd. Con un post pubblicato oggi da un account anonimo su Twitter, infatti, un utente ha rivendicato di aver acquisito informazioni riservate provenienti dai sistemi del Blog delle Stelle, organo ufficiale dell'Associazione Rousseau.

Le informazioni, condivise pubblicamente nell'arco di cinque diversi tweet, fanno riferimento in particolare alla piattaforma con la quale l'Associazione raccoglie donazioni dai suoi sostenitori, e include gli estremi di un account PayPal (per la gestione di conti online) e le credenziali di accesso a una casella di posta elettronica.

Creato nel mese di settembre, l'account si chiama "Hack5Stelle": "un nome perfetto", si legge in inglese nella biografia. Nel primo della serie di tweet che contengono le informazioni condivise, l'utente ironizza sul fatto che "Questo è un partito politico che voleva rivoluzionare il mondo digitale con un 'Sistema Informatico Globale'", si legge, aggiungendo delle emoticon che normalmente fanno riferimento a stupore e delusione.

La serie di tweet si conclude con un ultimo nel quale l'utente specifica che "Tutte le informazioni sono pubblicamente disponibili, con un semplice estrattore GIT potete avere questo e altro", facendo riferimento a strumenti automatici e reperibili online in grado di estrarre informazioni dal codice sorgente di un sito web non correttamente configurato.
La rivendicazione arriva nel giorno in cui i sostenitori del Movimento 5 Stelle sono chiamati a esprimersi su Rousseau, piattaforma di voto del movimento, in merito alla possibilita' di sostenere un governo di scopo guidato con il Partito Democratico, sotto la guida del presidente del Consiglio Giuseppe Conte.

In passato Rousseau è stata vittima di numerosi attacchi informatici che ne hanno evidenziato la fragilità, portando anche il Garante per la Privacy, Antonello Soro, a multare l'associazione che la gestisce per il valore di cinquantamila euro, ad aprile di quest'anno. Successivamente, il Movimento 5 Stelle ha assicurato in numerose occasioni di aver risolto i problemi relativi alla sicurezza della piattaforma. 

"Un errore inconcepibile", dice l'esperto

Autentici e convalidati da diversi esperti, i dati sottratti al Blog delle Stelle e divulgati su Twitter provengono direttamente dalla copia di sviluppo della piattaforma per la raccolta delle donazioni: “Un errore inconcepibile: qualsiasi penetration tester l'avrebbe trovato. Viene da pensare che nessuno abbia mai fatto un controllo di questo tipo”, ha commentato ad Agi Pawel Zorzan, esperto di sicurezza informatica.

Il riferimento è alle prove di carico a cui, periodicamente, vengono sottoposti i sistemi informatici, in modo da evidenziare anomalie o malfunzionamenti. Queste iniziano con strumenti che eseguono scansioni automatiche di tutti i domini e le cartelle contenute nei server, prima di arrivare a cercare di forzare letteralmente i sistemi. “Ma se spendono davvero cinque milioni all'anno sullo sviluppo di queste piattaforme, vorrei capire come può essere sfuggito un errore così banale”, aggiunge l'esperto.

Fortunatamente nessun dato personale o sensibile è stato esposto: l'archivio, pubblicamente accessibile, conteneva informazioni di altro tipo, fondamentali al funzionamento del servizio delle donazioni. Tra queste anche le credenziali per accedere all'account Paypal del Movimento. Tuttavia, come sempre quando viene divulgata la notizia di una vulnerabilità, resta il dubbio che qualcuno possa averla scoperta e sfruttata prima che diventasse di dominio pubblico. In questo caso è difficile escludere se siano state raccolte informazioni utili a compiere ulteriori attacchi”, conclude Zorzan.