Tecnologia

Il nuovo hack di Rogue0 a Rousseau e al sistema operativo del M5S

r0ogue_0 rousseau leak database - 1

Poco prima del voto sul contratto di governo avevamo lasciato la Casaleggio Associati ad occuparsi delle osservazioni fatte dal Garante della Privacy sulla qualità della tutela dei dati personali degli iscritti a Rousseau. Ci ritroviamo a parlare oggi, giorno in cui su Rousseau si vota per le Regionarie in Abruzzo e per l’elezione di un membro del collegio dei probiviri del M5S, di un possibile nuovo bug all’interno della struttura informatica della Casaleggio.

Cosa sappiamo dell’hack di rogue0 a Rousseau

Come ampiamente annunciato nei giorni scorsi su Twitter dall’hacker black hat rogue0 (già autore di intrusioni informatiche ai danni della Casaleggio) sono state pubblicate ieri su PrivateBin alcune tabelle che sembrerebbero essere state prese direttamente dal database di Rousseau, il cosiddetto “sistema informatico” del MoVimento, il sito dove gli attivisti e i parlamentari del M5S mettono in atto la democrazia diretta in salsa a 5 Stelle. Se l’hack venisse confermato significherebbe che le modifiche apportate dal tecnico informatico del partito di Luigi Di Maio all’architettura del sito non hanno reso più sicuri i dati personali degli iscritti a Rousseau. Questo a sua volta potrebbe comportare un nuovo intervento da parte del Garante per chiedere interventi correttivi al fine di garantire la tutela della privacy degli attivisti pentastellati.

r0ogue_0 rousseau leak database - 1

Al momento non c’è alcuna prova concreta che il leak sia reale, perché non è stato pubblicato il contenuto del database ma solo i nomi delle varie tabelle, tra cui diverse che riguarderebbero il meccanismo di votazione online, che non sarebbe quindi criptato ma leggibile in chiaro da chi ha i privilegi di accesso al db. In un altro tweet rogue0 ha pubblicato quello che sembra essere l’username dell’amministratore del sistema che sarebbe colui che ha i privilegi che gli consentono di vedere in chiaro certe informazioni che invece, stando alle prescrizioni del Garante, dovrebbero essere criptate.  Non si sa nemmeno quando è stato eseguito l’hack, anche se il titolo di una tabella in particolare “rsu_candidati_2018” indica che è avvenuto successivamente all’intervento del Garante (che è del 2017).

r0gue_0 rousseau leak database - 1

 

In seguito all’indagine su un precedente leak il Garante aveva chiesto di tutelare i dati degli iscritti «prevedendo la cancellazione o la trasformazione in forma anonima dei dati personali trattati (laddove per specifiche esigenze fossero presenti), una volta terminate le operazioni di voto» invitando il gestore a modificare lo schema del database «laddove prevede l’utilizzo del numero telefonico dell’iscritto in connessione ai voti elettronici espressi». Se l’hack venisse confermato allora rogue0 avrebbe avuto accesso al database di Rousseu con i pieni privilegi di sistema, proprio come un amministratore reale.

r0gue_0 rousseau leak database - 2

L’analisi delle tabelle di Rousseau aveva infatti rilevato come la preferenza espressa durante la votazione elettronica su Rousseau venga registrata mantenendo uno stretto legame, per ciascun voto espresso, con i dati identificativi riferiti ai votanti: «nello schema del database risulta infatti che ciascun voto espresso sia effettivamente associato a un numero telefonico  Questa notte l’hacker ha pubblicato alcuni dati che sarebbero stati prelevati dal database della piattaforma informatica del MoVimento. Se il leak venisse confermato significherebbe che la sicurezza dei dati degli attivisti pentastellati è ancora a rischiocorrispondente al rispettivo iscritto-votante». Sembra che il problema persista. Nel frattempo il M5S non ha ritirato la denuncia nei confronti dell’hacker buono, Evariste Gal0is, che nei mesi scorsi aveva cercato di avvertire i vertici e i tecnici del MoVimento dei problemi relativi alla sicurezza della piattaforma.

Leggi sull’argomento: Cosa c’è dietro la calata di braghe di Lega e M5S sui vaccini obbligatori