"Ho falsato i voti per le primarie M5S"

L'hacker che già in estate aveva 'bucato' la piattaforma Rousseau della Casaleggio torna a colpire e mostra su Twitter le prove della sua incursione. Toninelli, "gli attacchi sono stati rimbalzati". Il resoconto di RepubblicaStampa e Corriere

"Ho falsato i voti per le primarie M5S"
 Twitter
 Uno screenshot della piattaforma Rousseau hackerata
 

"Beppe Grillo e Casaleggio tranquilli Luigi Di Maio ha già vinto”  Con questo tweet l’hacker R0gue_0 annuncia che sarebbe riuscito a violare, di nuovo, Rousseau, la piattaforma on line sulla quale si sono svolte le primarie dalle quali dovrà uscire il prossimo candidato premier del M5S. La comunicazione arriva come una doccia gelata per i sostenitori del movimento: tutti temevano che R0gue_0, che già ad agosto aveva annunciato di aver violato i sistemi della Casaleggio, si facesse vivo. Il momento infatti è cruciale, o almeno lo sarebbe se non fosse per il totale sbilanciamento dei candidati, semi sconosciuti, che hanno deciso di sfidare Di Maio. 

R0gue_0 comunque dice di aver votato per lui, e se i più scettici pensano a un bluff, gli screenshot pubblicati dall’hacker sembrano confermare che abbia avuto realmente accesso al sistema, esprimendo ben dieci preferenze. Antonio Marcheselli, Massimo Ferrari e Davide Gatto sono solo alcune delle identità che l’hacker potrebbe aver usato. E un Davide Gatto affiliato al M5S in effetti esiste, in provincia di Salerno, dove nel 2011 ha tenuto un comizio rintracciabile su YouTube. L’unica analisi consentita dal materiale a disposizione evidenzia che R0gue_0 ha usato Tor, una rete che nasconde l’utente dietro anonimato, rendendo pressoché impossibile un’indagine a ritroso per risalire alla posizione del suo computer.

video

Il resoconto di RepubblicaStampa e Corriere

Poi ha irriso la Casaleggio, citando proprio la frase con cui era stata annunciata la misura della doppia autenticazione sul sito: “Il doppio passaggio dell’sms sul cellulare, istituito e utilizzato per la prima volta per garantire la sicurezza totale del voto”. Sure (certo)".

Poi ha cominciato a pubblicare una serie di screenshots, schermate delle pagine di certificazione delle sue numerose votazioni a favore di Luigi Di Maio, con vari beffardi hashtag, contenenti i nomi di iscritti hackerati. Da una prima spiegazione fornita dallo stesso hacker su Twitter, emerge poi un dettaglio quasi surreale: le password degli iscritti a Rousseau sarebbero salvate su una tabella a parte, in un database ospitato su un altro host, ma in chiaro, o comunque invertibili: cosa che, dal punto della IT security, sarebbe un’eresia per un sito di questa importanza politica.  

L’obbiettivo dell’hacker comunque non sembra essere quello di sovvertire il voto, quanto piuttosto quello di dimostrare che si può fare. Dieci voti sono ben pochi rispetto alla quantità di iscritti a Rousseau, ma comunque sufficienti a dimostrare che influenzare il voto è possibile. 

Di Maio presenta Rousseau all'Agi

video

Dopo la prima intrusione informatica nei sistemi della Casaleggio, dalla quale era emerso che le password erano cifrate con metodi obsoleti e facilmente aggirabili da un utente comune, il M5S aveva rassicurato di aver preso molto seriamente il problema. Tra le misure adottate anche la doppia verifica con l’invio di un sms sul telefono del votante. Ma R0gue_0 commenta con ironia: “I geni alla @casaleggio hanno messo una misura di sicurezza inviolabile per la sicurezza TOTALE del voto: l'SMS. LOL”.

A ogni modo, il regolamento europeo prevede che il titolare delle informazioni contenute su Rousseau, ovvero Beppe Grillo e la Casaleggio, dovranno comunicare la violazione all’Autorità nazionale di protezione dei dati, tuttavia non è chiaro se valga in questo caso perché la norma, già approvatata, entrerà in vigore nel 2018. Sulla piattaforma è stata già aperta un’istruttoria dal Garante della Privacy Antonello Soro lo scorso 7 agosto, poco dopo che R0gue_0 si è introdotto nel sistema la prima volta, e sulla quale è mantenuto massimo riserbo. Sarà probabilmente l’autorità a verificare se è stato fatto tutto il possibile per proteggere l’accesso e i dati degli utenti registrati sulla piattaforma.

 

 



Se avete correzioni, suggerimenti o commenti scrivete a dir@agi.it