Hacking M5S: il database di Rousseau messo in vendita per 800€

È probabile che nelle ultime ore abbiate sentito parlare di un attacco hacking al M5S. Ma cosa è successo esattamente?

Da sempre, il Movimento 5 Stelle ha fatto vanto delle sue forme di democrazia diretta: mentre in un primo momento gli utenti potevano partecipare alle iniziative del movimento tramite il sito ufficiale, da aprile 2016 il partito ha inaugurato Rousseau, una piattaforma che offre diverse forme di partecipazione agli iscritti.

Il Movimento 5 Stelle lo definisce il suo “sistema operativo” ma questo appellativo ha ben poco senso: si tratta piuttosto di una piattaforma dove gli attivisti possono votare su tutte le questioni proposte dal partito, inclusa la scelta dei candidati per le elezioni regionali e amministrative (ricordate tutta la storia di Cassimandis?), nonché la posizione del Movimento 5 Stelle nel Parlamento Europeo (ricordate la questione con l’ALDE?).

Inoltre, Rousseau ha anche altre sezioni, dove ad esempio è possibile proporre leggi ma, soprattutto, nella piattaforma si tiene traccia di tutte le donazioni ricevute dal partito. Come spiegato anche da Il Post, Rousseau è di proprietà dell’Associazione Rousseau, la cui sede corrisponde a quella della Casaleggio Associati, e Davide Casaleggio ricopre il ruolo di presidente e tesoriere.

Il 2 agosto, un hacker noto su Twitter come @evaristegal0is ha annunciato che Rousseau è vulnerabile ad attacchi informatici e che i dati sensibili sono a rischio. A detta dell’hacker, per violare i sistemi informatici del Movimento 5 Stelle era (è?) sufficiente una SQL Injection, una tipologia d’attacco informatico estremamente comune e piuttosto “banale” da eseguire, che mette in serio dubbio la sicurezza del portale. Inoltre, l’hacker rimprovera il limite massimo di 8 caratteri per la password: una scelta a dir poco inusuale e poco sicura, specialmente per un portale così importante.

Tutte queste informazioni sono state svelate da @evaristegal0is tramite un mini-sito (ancora parzialmente online), hack5stelle.byethost17.com: qui, per prima cosa l’hacker spiega che il suo non è un attacco politico rivolto al M5S. Solo dopo aver chiarito questo punto, l’hacker illustra rilevanza del problema.

In sostanza, chi — come lui — avesse eseguito quel tipo di attacco informatico, avrebbe potuto ottenere letteralmente qualsiasi dato contenuto nel database di Rousseau: dati personali degli iscritti (nomi, cognomi, indirizzi, email, numeri di cellulare, profili dei social network) nonché le informazioni relative a tutte le donazioni registrate.

Nel sito, l’hacker ribadisce più volte di non avere nulla contro il M5S e di aver fatto tutto esclusivamente per mettere in guardia gli utenti di possibili furti di dati.

Per come si è comportato, @evaristegal0is ha agito da White Hat: in gergo tecnico, si definiscono White Hat, cappelli bianchi, gli hacker che seguono una certa etica, che non sfruttano le falle scoperte per benefici personali e che agiscono esclusivamente per segnalare problemi di sicurezza, al fine di tutelare i sistemi informatici e proteggere i dati personali.

Cappelli bianchi e cappelli neri. Immagine via: BoostSuite

Ai White Hat si contrappongono i Black Hat, cappelli neri, ossia hacker che non rispettano alcun codice etico e hanno spesso fini illeciti.

E, proprio un sedicente Black Hat, sembrerebbe aver messo le mani sul database di Rousseau.

Nella giornata di ieri 3 agosto, infatti, un secondo hacker noto su Twitter come @r0gue_0 ha iniziato a far trapelare alcuni dati prelevati da Rousseau, insultando il suo “collega” che aveva preferito non svelare alcunché e segnalare soltanto il rischio.

Richiamando l’attenzione di alcuni dei principali quotidiani nazionali su Twitter, @r0gue_0 ha pubblicato tre porzioni di file che riprenderebbero altrettante tabelle del database di Rousseau. Tra i dati trapelati, c’è anche una lunga tabella con dati sensibili (tra cui quelli del senatore Vito Crimi), video di presentazione di potenziali candidati del M5S, nonché una lista di donazioni, dove appaiono anche i nomi dei donatori, l’importo e il metodo utilizzato per versare il denaro (PayPal o bonifico).

Poche ore dopo il primo leak di @r0gue_0 l’Associazione Rousseau ha pubblicato un post in cui dichiara che gli attacchi sono avvenuti nella versione precedente della piattaforma, mentre il nuovo Rousseau — presentato proprio il giorno prima — sarebbe al sicuro. Inoltre, nel post il Movimento 5 Stelle si scaglia contro il primo hacker (forse ignorando che un secondo fosse già attivo?), facendo notare che il suo account Twitter è stato eliminato e che il sito è scomparso (in realtà non è scomparso, ma l’autore ha modificato il post, eliminando la dimostrazione tecnica).

Tuttavia, a questo post, il Black Hat ha risposto sostenendo di aver ancora accesso a Rosseau, di esserci dentro da mesi e di aver “toccato di tutto” (implicando anche la possibilità di aver manomesso dati delle votazioni).

Molti giornalisti esperti del settore hanno invitato ad andarci piano con le ipotesi, anche considerando che, per il momento, la mole di dati pubblicati è relativamente bassa e alcuni dei dati svelati finora riprendono evidentemente valori di test, ossia dei dati inseriti manualmente dai programmatori per accertarsi che tutto funzioni.

Proprio uno di questi valori di test, però, ha suscitato l’attenzione di David Puente, blogger e debunker che in passato ha lavorato per la Casaleggio Associati. In un post sul suo blog, David ha spiegato di aver notato tra i valori di test la parola legalizzamelo: nonostante di per sé non voglia dire nulla, pare che l’(ab)uso di enclitici fosse tipico del modo di parlare di uno dei programmatori dell’azienda (associamelo, pubblicamelo…) e questo — qualora non fossero sufficienti le informazioni personali trapelate finora — confermerebbe che si tratta di dati veri, prelevati realmente dal database di Rousseau.

legalizzemlo. Immagine via: David Puente

In ogni caso, nonostante tutti i dati personali pubblicati finora, non possiamo dirci certi di cosa abbia in mano l’hacker o di cosa abbia fatto in passato: come diversi esperti hanno fatto notare, infatti, rilasciare piccoli leak alla volta non è una mossa molto comune, né tantomeno “furba” .

Infatti, solitamente la prassi seguita dagli hacker che bucano dei sistemi informatici e vogliono far trapelare i dati è rilasciare immediatamente tutto quel che hanno in loro possesso.

Insomma: quanto rilasciato finora testimonia la scarsa sicurezza informatica di Rousseau e conferma i rischi legati ai i dati personali degli utenti, ma non rappresenta una prova sufficiente per sostenere che l’hacker abbia ancora accesso al database e potrebbe rilasciare altri dati della piattaforma.

Nel frattempo, il numero di follower di @r0gue_0 aumenta rapidamente, così come l’attenzione mediatica: qualora avesse davvero eseguito un dump (ossia una copia) dell’intero database di Rousseau, probabilmente non passerà troppo tempo prima di vederlo online.

Aggiornamento : Oggi, 5 agosto, l’hacker noto come @r0gue_0 ha pubblicato altri leak contenti dati personali degli utenti iscritti a Rousseau.

Nei tweet inviati, l’hacker sembra volersi prendere gioco del M5s, e suggerisce più volte la possibilità di aver manipolato le votazioni: tra i tanti hashtag utilizzati, anche #YourDemocracyHasBeenHacked e #ConfessOrSink.

Inoltre, in alcuni tweet r0gue_0 si è definito l’nient’altro che l’admin di Rousseau e si è fatto gioco del famoso slogan 1 vale 1 con l’hashtag #OneWorth140k, lasciando intendere che le sue azioni potrebbero aver influenzato le votazioni di 140 mila persone, pari al numero degli iscritti che partecipano attivamente su Rousseau secondo recenti dichiarazioni di Davide Casaleggio.

Per sottolineare la possibilità di modificare effettivamente il database, l’hacker avrebbe inserito una finta donazione eseguita da Matteo Renzi pari a 1 milione di euro.

A chi l’ha fatto notare su Twitter, l’hacker ha sostanzialmente risposto dicendo che questo è quel che puoi fare quando hai accesso completo al database: modificare i dati o aggiungerne di nuovi. L’hacker ha fatto esplicito riferimento al comando INSERT INTO, ossia il comando utilizzato per inserire nuovi valori in un database.

@r0gue_0 sta lasciando esplicitamente intendere di essere un interno dell’Associazione Rousseau, sostenendo che gli è stata affidata la piattaforma Rousseau già da tempo, ma nessuno sta rivelando niente. Che questo sia vero o meno non è ancora noto.

In ogni caso, sembra che l’hacker stia cercando di impaurire il Movimento 5 Stelle: alcune ore fa, ha fatto punzecchiato Beppe Grillo facendo sapere che il tempo stringe e rilasciando un altro leak con dati sensibili di utenti iscritti a Rousseau.

Circa un’ora dopo, l’hacker ha pubblicato un tweet in cui mette in vendita il database di Rousseau al prezzo di 0,3 bitcoin, pari a circa 800€.

Inutile precisare che, qualora r0gue_0 avesse davvero una copia del database di Rousseau e questa venisse venduta al miglior (o più rapido!) offerente, sarebbe una notizia estremamente grave: parliamo dei dati sensibili di circa 140 mila persone, oltre che informazioni relative a donazioni, votazioni e altri dati legati al partito.

Per questa ragione, diversi esperti si stanno domandando perché Twitter non abbia ancora eliminato l’account, considerando l’illegalità della richiesta.

Infine, a prescindere da come si evolverà la vicenda, l’hacker è probabilmente riuscito nel suo intento, instillando il dubbio che in passato possa aver manomesso le votazioni della piattaforma.