Come è stato attaccato Rousseau? L’hacker ha usato il metodo SQL injection.

Un attacco di tipo SQL injection ha come obiettivo quello di ottenere informazioni riservate da un database, inviando delle query, attraverso una variabile input non controllata. Non essendoci sufficienti controlli sui valori e caratteri immessi in una variabile input vulnerabile è possibile eseguire dei comandi e ricevere risposte dal database senza avere i privilegi necessari.

È uno degli attacchi più comuni verso i siti web, ed è reso piuttosto facile da un programma chiamato SQLmap, che io stesso ho utilizzato.
Usando il tool SQLmap ho avuto conferma della sospetta vulnerabilità e impartendo pochi comandi è stato possibile avere accesso ai database. Non avevo i privilegi d’amministratore, ma ho avuto comunque accesso a numerose informazioni riservate.

 Con questo attacco era possibile vedere chi aveva fatto le donazioni on line: nome, cognome, e-mail, città, importo, tipologia di pagamento.

Ma…. c’è di peggio.

PIATTAFORMA ROUSSEAU E LA PASSWORD PER POLLI

L’hacker in questione – secondo quanto sostanzialmente afferma nel sito – ha avuto accesso a diverse informazioni sensibili che un iscritto immette al momento della registrazione o della candidatura. «La tabella riguardante gli iscritti –
spiega – contiene 72 entrate». Anche le tabelle che riguardano le votazioni online (voting_votazioni o voting_votazioni_vote). «Questo, per ora – aggiunge – non rende sicuro il sistema di votazione online adottato».

Anche perché un dettaglio non da poco è la possibilità di metter una password di 8 caratteri sul sito.  Basta un programma, John the Ripper, per avere una lista di 99999999 numeri (e combinazioni). Risultato?  136 password craccate in 21 ore su un campione casuale di 2517: il 5,40%delle password analizzate.

Cosa fare ora? «Cambiare la password dell’account», spiegano dal sito. «Inoltre sarebbe utile cambiare le password della e-mail con cui ci si è registrati e dei vari profili social, specialmente se all’interno di queste password avete usato dati personali come data di nascita o altre informazioni personali».

(in copertina Davide Casaleggio lascia la Stampa Estera dopo la presentazione della nuova versione della piattaforma Rousseau a Roma, 2 agosto 2017.
ANSA/MAURIZIO BRAMBATTI)