"Beppe Grillo e Casaleggio tranquilli Luigi Di Maio ha già vinto” Con questo tweet l’hacker R0gue_0 annuncia che sarebbe riuscito a violare, di nuovo, Rousseau, la piattaforma on line sulla quale si sono svolte le primarie dalle quali dovrà uscire il prossimo candidato premier del M5S. La comunicazione arriva come una doccia gelata per i sostenitori del movimento: tutti temevano che R0gue_0, che già ad agosto aveva annunciato di aver violato i sistemi della Casaleggio, si facesse vivo. Il momento infatti è cruciale, o almeno lo sarebbe se non fosse per il totale sbilanciamento dei candidati, semi sconosciuti, che hanno deciso di sfidare Di Maio.
@beppe_grillo e @casaleggio tranquilli @luigidimaio ha già vinto, ve lo assicurano decine di miei voti certificati. #UserWay #M5S #Rousseau
— rogue0 (@r0gue_0) 22 settembre 2017
R0gue_0 comunque dice di aver votato per lui, e se i più scettici pensano a un bluff, gli screenshot pubblicati dall’hacker sembrano confermare che abbia avuto realmente accesso al sistema, esprimendo ben dieci preferenze. Antonio Marcheselli, Massimo Ferrari e Davide Gatto sono solo alcune delle identità che l’hacker potrebbe aver usato. E un Davide Gatto affiliato al M5S in effetti esiste, in provincia di Salerno, dove nel 2011 ha tenuto un comizio rintracciabile su YouTube. L’unica analisi consentita dal materiale a disposizione evidenzia che R0gue_0 ha usato Tor, una rete che nasconde l’utente dietro anonimato, rendendo pressoché impossibile un’indagine a ritroso per risalire alla posizione del suo computer.
Poi ha irriso la Casaleggio, citando proprio la frase con cui era stata annunciata la misura della doppia autenticazione sul sito: “Il doppio passaggio dell’sms sul cellulare, istituito e utilizzato per la prima volta per garantire la sicurezza totale del voto”. Sure (certo)".
"il doppio passaggio dell'sms sul cellulare,istituito e utilizzato per la prima volta per garantire la sicurezza totale del voto"
— rogue0 (@r0gue_0) 22 settembre 2017
Sure. #LOL pic.twitter.com/VwZRiT55RC
Poi ha cominciato a pubblicare una serie di screenshots, schermate delle pagine di certificazione delle sue numerose votazioni a favore di Luigi Di Maio, con vari beffardi hashtag, contenenti i nomi di iscritti hackerati. Da una prima spiegazione fornita dallo stesso hacker su Twitter, emerge poi un dettaglio quasi surreale: le password degli iscritti a Rousseau sarebbero salvate su una tabella a parte, in un database ospitato su un altro host, ma in chiaro, o comunque invertibili: cosa che, dal punto della IT security, sarebbe un’eresia per un sito di questa importanza politica.
#JeSuisDavideGatto pic.twitter.com/RtYr5QZI9R
— rogue0 (@r0gue_0) 22 settembre 2017
L’obbiettivo dell’hacker comunque non sembra essere quello di sovvertire il voto, quanto piuttosto quello di dimostrare che si può fare. Dieci voti sono ben pochi rispetto alla quantità di iscritti a Rousseau, ma comunque sufficienti a dimostrare che influenzare il voto è possibile.
Di Maio presenta Rousseau all'Agi
Dopo la prima intrusione informatica nei sistemi della Casaleggio, dalla quale era emerso che le password erano cifrate con metodi obsoleti e facilmente aggirabili da un utente comune, il M5S aveva rassicurato di aver preso molto seriamente il problema. Tra le misure adottate anche la doppia verifica con l’invio di un sms sul telefono del votante. Ma R0gue_0 commenta con ironia: “I geni alla @casaleggio hanno messo una misura di sicurezza inviolabile per la sicurezza TOTALE del voto: l'SMS. LOL”.
A ogni modo, il regolamento europeo prevede che il titolare delle informazioni contenute su Rousseau, ovvero Beppe Grillo e la Casaleggio, dovranno comunicare la violazione all’Autorità nazionale di protezione dei dati, tuttavia non è chiaro se valga in questo caso perché la norma, già approvatata, entrerà in vigore nel 2018. Sulla piattaforma è stata già aperta un’istruttoria dal Garante della Privacy Antonello Soro lo scorso 7 agosto, poco dopo che R0gue_0 si è introdotto nel sistema la prima volta, e sulla quale è mantenuto massimo riserbo. Sarà probabilmente l’autorità a verificare se è stato fatto tutto il possibile per proteggere l’accesso e i dati degli utenti registrati sulla piattaforma.