Hackerata la Piattaforma Rousseau del M5S

Un “white hat” ha trovato una vulnerabilità nella nuova piattaforma Rousseau usata per le votazioni online e ha contattato i gestori per avvisarli.

Annunciata in pompa magna, la versione 2.0 della Piattaforma Rousseau del Movimento 5 Stelle deve fare subito i conti con una figuraccia di quelle da cui è difficile riprendersi.

A 24 ore dal suo lancio, infatti, un ricercatore di sicurezza che si fa chiamare Evariste Gal0is ha annunciato su un “mini sito” Internet che la piattaforma ha una banale vulnerabilità che consente un attacco tramite SQL Injection.

Il white hat sarebbe riuscito ad accedere al database di Rousseau nel quale sono disponibili informazioni sensibili riguardanti gli iscritti come nome e cognome; indirizzo email; città di nascita e residenza; contatti social, numero di cellulare; curriculum e presentazione; titolo di studio; professione e le donazioni eventualmente fatte al Movimento 5 Stelle.

Per quanto riguarda le password, Evariste Gal0is riferisce che sono (fortunatamente) protette da crittografia, ma la notizia non è di grande conforto. La Piattaforma Rousseau sembra infatti essere l’unico servizio online che impone ai suoi utenti una lunghezza massima (8 caratteri) al momento della scelta della password.

In pratica un invito a scegliere una parola d’accesso che può essere facilmente craccata con il più banale dei software di Brute Forcing come John the Ripper.

“Sebbene le password siano criptate, sapendo che la lunghezza massima è di soli otto caratteri e che le date GGMMAAAA sono lunghe esattamente otto cifre, è abbastanza logico tentare un attacco dizionario con una lista di numeri da 00000000 a 99999999” spiega Evariste Gal0is. Risultato del suo piccolo esperimento: 136 password craccate (su un campione di 2517) in 21 ore.

E avendo a disposizione più tempo (e magari una macchina con prestazioni migliori) c’è da scommettere che anche le password con caratteri alfabetici non reggerebbero più di tanto a un attacco a dizionario.

Insomma: dal punto di vista della sicurezza la Piattaforma Rousseau sembra essere un vero colabrodo. Anche se l’anonimo hacker non si sbilancia sulla presenza di altre vulnerabilità nel sistema.

“Non posso saperlo, ma non posso escluderlo. Purtroppo capita che i programmatori commettano qualche errore, e che ci sia qualcuno che se ne accorge e decide di approfittarne. Come utenti purtroppo non potete fare molto, ma potete chiedere la maggior trasparenza possibile e un canale di comunicazione diretto con lo staff che si occupa della parte tecnica del sito. Proporre di aprire un piccolo programma di bug bounty per premiare chi segnala una vulnerabilità potrebbe essere un’idea”.

E sfruttare eventuali vulnerabilità in una piattaforma che permette di prendere decisioni che influiscono sulla vita politica del partito di Beppe Grillo e Davide Casaleggio non è esattamente un rischio trascurabile.

Resta da capire perché Evariste Gal0is abbia deciso di rendere pubblica immediatamente la vulnerabilità. Nel suo messaggio assicura che il suo non è un attacco politico, ma visto che per sua stessa ammissione i gestori del sito gli hanno risposto con una certa sollecitudine, la sua azione non rientra proprio in quella che si definirebbe una “responsible disclosure”.

Nel frattempo, sul Web il mini sito all’indirizzo http://hack5stelle.byethost17.com/ è sparito (ma si trova nella cache di Google usando CachedView) così come l’account Twitter di Evariste Gal0is. Difficile capire se abbia deciso di eclissarsi o sia stato… “soppresso”.

Condividi l'articolo

