Pages Navigation Menu

il contenitore dell'informazione e della controinformazione

.

“Ho avuto accesso a tutti i dati, il vero problema del M5S non sono io”. Parla l’hacker che ha ‘bucato’ Rousseau

Se mi sta chiedendo se le vulnerabilità trovate mi hanno permesso di avere accesso ai dati personali degli utenti la risposta è: Sì. Avevo accesso all’intero database di Rousseau, e a tutti i dati che iscritti devono immettere al momento dell’iscrizione”. Evariste Galois è stato il primo hacker a bucare Rousseau, la piattaforma politica del Movimento 5 stelle. Ci ha scritto via email da un account Proton, un servizio di mail criptate. Il nome non è il suo ma così si fa chiamare su Twitter, dove ha cominciato a denunciare le falle della sicurezza del sito. Un nome che ha ‘rubato’ ad un matematico francese, giovane genio tra i fondatori dell’algebra astratta, morto a soli 20 anni per una ferita allo stomaco subita in duello. Anche l’hacker sembra molto giovane. “Non ho cercato se erano presenti vulnerabilità per scalare i privilegi e quindi non potevo modificare, ma potevo leggere. E questo è gravissimo” ha detto ad Agi. “Io però non ho pubblicato i dati degli utenti e non mi sono interessato ad essi (come è stato fatto qualche giorno dopo, presumibilmente da un altro hacker, ndr) . “Lo scopo dimostrativo del sito era mostrare che io potevo aver accesso a quei dati e quindi il sito non era sicuro. Dimostravo questo. Il pericolo era il sito e la sua sicurezza, non io”. Ad Agi diversi esperti di sicurezza hanno confermato che l’indirizzo email e la veridicità del contenuto è attendibile.

"Ho avuto accesso a tutti i dati, il vero problema del M5S non sono io". Parla l'hacker che ha 'bucato' Rousseau
 Davide Casaleggio – imago

Partiamo dal principio: perché un hacker decide di provare la sicurezza di Rousseau? 

“Io cerco le vulnerabilità nei siti web nel tempo libero. Non è un segreto, e di solito è ben visto. Ho un profilo su OpenBugBounty, sito utilizzato per segnalare in maniera responsabile determinate vulnerabilità. Mi occupo prevalentemente di siti italiani, per comodità, e ho testato, a caso, anche il sito del M5S. Semplicemente questo”.

E sei riuscito a bucarlo. E’ stato così facile? 

“Personalmente, come ho scritto in qualche tweet, reputo la sicurezza di quel sito molto scadente. Mancano proprio le basi, a mio parere, ma penso che chi ne capisce qualcosa (e ben più di me) concordi con questo mio punto di vista”.

Il tuo era un attacco contro il Movimento? Volevi dimostrare qualcosa? Alcuni ti hanno accusato sui social di aver preso soldi da altri partiti per farlo

“Come più volte scritto, in maniera esplicita e chiara, non era un attacco politico o al partito. Nel tempo libero cerco vulnerabilità, e una falla così grave, in un sito che contiene così tanti dati, non poteva passare sotto silenzio. Per il resto non mi esprimo, non sono stato pagato da nessuno ovviamente, ma sto fuori da commenti politici”.

"Ho avuto accesso a tutti i dati, il vero problema del M5S non sono io". Parla l'hacker che ha 'bucato' Rousseau
beppe Grillo (agf)

Hai detto che hai contattato tu la Casaleggio per avvertirli, che ti hanno detto?

“Li ho contattati uno o due giorni prima della diffusione del sito, per segnalare la vulnerabilità. Hanno ringraziato per la segnalazione, ho avvisato che avrei pubblicato la notizia, senza però diffondere dati o dettagli troppo precisi sulla variabile vulnerabile. Purtroppo qualcuno ha trovato altre variabili vulnerabili, e condanno il gesto. Ho scritto qualche giorno dopo per segnalare un altro errore simile, affinché si potesse mettere in sicurezza il sito, mi hanno nuovamente ringraziato. Personalmente non reputo il sito sicuro”.

Che idea ti sei fatto delle minacce che ti sono arrivate dal blog di Grillo? Pensi che alla fine ti porterà in Tribunale? 

“Non ho ricevuto denunce, spero non procedano per via legale, più che altro per non perdere tempo in carte e aule di tribunale. Spero fosse solo un post di propaganda, devono ancora commentare la perdita dei dati. Penso che la gestione del problema sia stata fatta male in ogni suo step: comunicazione con la stampa, con gli utenti, gestione della sicurezza. Io avevo scritto dei consigli nel sito, che reputo sensati, ma sono stati ignorati”.

Per lo meno un effetto lo hanno avuto: per un po’ hai cancellato tutto. E’ così? 

“Non ho cancellato tutto. Ho sospeso l’account Twitter volontariamente per qualche giorno: troppa pressione, troppa visibilità, mille notifiche e, ammetto, un po’ di preoccupazione iniziale. Non ero e non sono abituato. Io capisco la viralità della notizia, ma ammetto che non ho saputo gestire al meglio la situazione. Eliminarmi mi ha dato dei giorni di tranquillità. Il sito è caduto offline per le troppe visite, per rimetterlo online dovevo pagare il servizio di host e non sono interessato a ciò. Ho modificato comunque il sito, ho tolto il paragrafo Dimostrazione. Lo reputavo utile, e lo reputo tutt’ora così, ma non voglio aiutare ulteriormente persone stupide come r0gue_0. Il sito comunque è ancora reperibile attraverso le cache. Ho lasciato la sezione FAQ e Conclusione perché le reputo utili per gli utenti”.

Hai avuto accesso solo a Rousseau o da lì potevi entrare negli altri siti? 

“Non ho controllato l’intero db, non era il mio interesse. Poterlo leggere era già particolarmente grave. Personalmente non reputo sicuro il sito di Beppe Grillo. Non mi stupirebbe se ci fosse un unico database per tutti i loro siti. Non avendo però prove di ciò, e sinceramente non volendomene più occupare, la risposta alla domanda è: no, non ho avuto accesso agli altri siti”.

@arcangelorociola

Sorgente: “Ho avuto accesso a tutti i dati, il vero problema del M5S non sono io”. Parla l’hacker che ha ‘bucato’ Rousseau

Spread the love
  •  
  •   
  •   
  •   
  •   
  •  
  •  
468 ad
< >

Leave a Comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

adv